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A »PLICATIOU 



TERMINAL ET SYSTEME POUR LA MISE EN OEUVRE DE TRANSACTIONS ELECTRONIQUES SECURISEES. 

&) Ce terminal comprend un module terminal (1) et un 
dispositif personnel de securite (31). Le terminal (1) est 
adapte pour recevoir des requetes d'une application (Fap) 
implantee sur une unite electronique sous la forme de re- 
quetes de haut niveau independantes du module (1 ) et dudit 
dispositif personnel de securite (31). 

L'un au moins du module terminal (1 ) et du dispositif per- 
sonnel de securite (31) comprend une mSmoire reprogram- 
mable de stockage et des moyens d'execution d'un logiciel 
filtre (F) traduisant les requetes de haut niveau en sequen- 
ces d'echange de donnees entre le module terminal (1) et 
I'utilisateur via et en sequences de commandes elementai- 
res executables par le dispositif personnel de securite, ainsi 
que des moyens de protection dudit logiciel filtre (F, 62), 
pour empecher toute modification dudit logiciel par une per- 
sonne non autorisee. Le logiciel filtre comprend des moyens 
^identification et / ou d'authentification de Porigine des re- 
quetes emises par ladite application (Fap) implantee dans 
ladite unite. 



(*uf PC Vou S*p) 



3NSDOCID: <FR 277901 8A1 J_> 



* 9 

2779018 

i 

La presente invention concerne un terminal ct un systeme pour la 
mise en oeuvre de transactions electroniqucs securisees. 

Lcs rcscaux publics de transmission de donnees numeriques, tels 
que le reseau Internet, connaissent un developpement considerable. 
5 Cependant, Tun des freins qui limitent actuellement la mise en oeuvre de 
transactions electroniqnes securisees sur ce type de reseau reside dans 
Tinsuffisance des mecanismes de securite associes a de telles transactions, 
insuffisance qui se traduit par un manque de confiance des utilisateurs et 
operateurs de reseaux. 
10 Au sens de la presente demande : 

- une transaction electronique designe un echange d'informations, 
via un reseau public de transmission de donnees numeriques ou de 
telecommunications, soit entre deux ou plusieurs utilisateurs, soit entre un 
utilisateur et un fournisseur de services, 

15 - une fonction est un traitement effectue dans l'objectif de rendre un 

service a un utilisateur, 

- une application designe un ensemble coherent de services et de 
fonctions, 

- l'expression logiciel ^application designe le ou les logiciels 
20 necessaires pour mettre en oeuvre les fonctions relatives a une application 

donnee, 

- une transaction securisee est une transaction pour laquelle 
certaines mesures de securite sont prises, a savoir 1'authentification des 
cntites participant a la transaction, l'integrite, la confidentialitc, 

25 l'authenticite, et eventuellement la non repudiation des echanges et 

operations effectuecs dans le cadre de la transaction. 

De nombreuses applications necessitent que les transactions 

electroniques mises en oeuvre soicnt securisees. II s'agit par exemple du 

controle d'acces a des ressources informatiques ou similaires, de la banque 
30 a domicile (consultation, mouvements de comptes bancaires, etc... par 

Tintermediaire du reseau telephonique ou d'Internet), du commerce 
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electronique (achat de biens ou services par l'mtermediaire d'un reseau 
public), du courrier electronique, du porte-monnaie electronique, etc... 

Ces applications, ainsi que d'autres, necessitant des transactions 
securisees sont bien connues des specialistes de la technique et ne sont pas 
5 decrites ici en details. 

Suivant leur nature, la securisation de ces applications necessite la 
mise en oeuvre d'un ou plusieurs services de securite tels que : 

- l'authentification, qui permet de garantir Tidentite d'une entite 
(une personne ou un systerne) ; 

10 - le controle d'acces, qui confere une protection contre Tutilisation ou 

la manipulation non autorisee de ressources ; 

- la confidentiality, qui interdit la divulgation de donnees a des 
entites non autorisees ; 

- l'integrite de donnees, qui assure que des donnees n'ont pas ete 
15 modifiees, supprimees ou substitutes sans autorisation ; 

- la non repudiation, qui assure qu'un participant a un echange de 
donnees ne pourra pas ulterieurement nier Texistence de cet echange. 

La combinaison de deux techniques existantes permet d'envisager la 
mise en oeuvre de ces services de securite, offrant ainsi un niveau de 
20 securite suffisant pour effectuer des transactions electroniques. 
II s'agit de : 

- la cryptographie a cle publique et cle privee, car elle permet de 
garantir la non repudiation et facilite la gestion des cles ; 

- la carte a circuit integre, ou a micro-circuit, car elle est peu 
25 couteuse, facile a utihser et sure grace a des microproccsscurs specifiques 

dotes de protections materielles et logicielles permottant d'interdire Tacces 
en lecture et en ecriture a leurs memoires. 

Les cartes a circuit integre offrent les services suivants : 
* Tauthentification du porteur ou utilisateur de la carte : cette 
30 operation permet d'authentifier le porteur a Taide d'un code confidcntiel et 
a la carte d'accepter par la suite la mise en oeuvre d'operations telles que 
Texecution d'algorithmes, la lecture de cles secretes, la lecture et/ou 
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l'ccriture de donnees dans la carte, qui peuvent en outre etre soumises a 
d'autres conditions de securite ; 

* la protection des donnees et fonctions stockees sur la carte a circuit 
integre. L'acces a la carte peut etre soumis a une authentification prealable 
de l'entite electronique demandant a y acceder. Cette authentification 
externe se fait generalement en mode challengc/reponse. Dans ce cas, 
l'entite dispose d'un parametre secret, ci-apres appele egalement secret, qui 
lui permet de calculer, en fonction d'un challenge emis par la carte, une 
reponse qui prouvera a la carte qu'elle est en possession du secret ; 

* execution d'algorithmes cryptographiques utihsant un parametre 
secret memorise dans la carte (chiffrement, authentification de message, 
signature) ; 

* authentification interne. Ce service permet a une application 
d'authentifier la carte. Ce service est Tin verse d'une authentification 
externe. La carte genere une reponse en fonction d'un challenge regu et 
d'un secret stocke dans la carte. 

Lies services offerts par la carte a circuit integre sont mis en oeuvre 
sur reception de commandes dites elementaires, l'execution de la 
commande provoquant renvoi de reponses elementaires. Ces commandes 
elementaires concernent, par exemple, des calculs cryptographiques, la 
lecture ou Tecriture de donnees secretes ou non, des interventions de 
1'utilisateur (saisie de son code confidentiel personnel PIN, validation d'une 
transaction apres signature), les retours d'inforrnation vers l'utilisateur 
(affichage des messages a signer, par exemple). 

Certaines cartes offrent la possibilite de verifier l'integrite, Torigine, 
voire la confidentialite des commandes envoyees a la cai'te. Ces services 
reposent sur des techniques d'authentification et de chiffrement des 
commandes. 

L'utilisation qui est faite actuellement des cartes a circuit integre (ou 
cartes a micro-circuit) offre un degre tres eleve de securite car les 
transactions sont essentiellement mises en oeuvre sur des reseaux prives et 
des terminaux (distributeurs automatiques de billets, terminaux points de 
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vente par exemple) qui sont sous le controle d'une entite assurant la 
securite dc l'ensemble du systeme. 

Dans de telles applications, les utilisateurs ou d'eventuels fraudeurs 
n'ont pas acces au logiciel d'application, ni aux mecanismes de securite 
materiels et logiciels dont sont dotes les terminaux. 

Par contre, la mise en ceuvre de transactions securisees avec des 
cartes a circuit integre sur un reseau public suppose que les utilisateurs 
aient a leur disposition un module terminal lecteur de carte, etant donne 
que ces cartes a micro-circuit ne sont pas dotees d'unc source d'energie 
electrique propre et que leur mise en oeuvre rcquiert un lecteur susceptible 
de les alimenter et d'etablir une communication avec l'utilisateur et/ou des 
moyens electroniques exterieurs. 

A Theure actuelle, pour realiser une transaction sur un rescau 
public, l'utilisateur dispose d'un terminal, qui peut etre un produit dedie, 
un ordinateur personnel, ou un ordinateur personnel couple a une carte a 
circuit integre par un lecteur de carte. 

Dans tous les cas, le systeme de transactions a la disposition de 
l'utilisateur est en general constitue de : 

• un fournisseur de services applicatifs pouvant etre, par exemple, un 
navigateur Internet, un logiciel de messagerie, un logiciel de banque a 
domicile ("Home banking"), 

• un fournisseur de services de securite de haut niveau permettant 
Texecution des mecanismes cryptographiqucs de bas niveau requis par 
Tapplication. 

Le fournisseur de services applicatifs cmet des requetes de services 
de securite de haut niveau pour assurer la securite des transactions mises 
en oeuvre. 

Dans le cas ou Tapplication est implantee sur 1'ordinateur personnel 
de l'utilisateur, les services cryptographiqucs auxquels il est fait reference 
sont, par exemple, ccux definis par la Societe RSA Laboratories dans son 
standard "PKCS 11 : Cryptographic Token Interface Standard", ou encore 
les services cryptographiques offerts par le systeme d ! exploitation Windows 
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NT de Microsoft, en particulier ceux proposes par l'lnterface des 
programmes d'application (API) "Crypto API". 

Lorsque l'utilisateur ne dispose pas de lecteur de carte a circuit 
integre, les services cryptographiques sont realises de maniere logicielle 
5 uniquement. 

Lorsque l'utilisateur veut ameliorer la securite, il utilise un lecteur 
de carte a circuit integre de type transparent connecte a son ordinateur. Un 
lecteur de carte de type transparent est en fait un boitier ^interface entre 
l'ordinateur et la carte a circuit integre qui permet de transmettre des 

10 commandes elementaires de l'ordinateur, provenant du fournisseur de 
services cryptographiques, vers la carte, et les rcponses elementaires de la 
carte vers l'ordinateur. Un utilisateur peut, a l'aide de ce terminal, 
(constitue de son module terminal - ordinateur + lecteur - couple a sa carte) 
effectvier des transactions electroniques (commerce electronique par 

15 exemple). 

Bien entendu, l'acces des utilisateurs a un tel terminal engendre des 
risques potentiels du point de vue de la securite. 

Les risques encourus seront d'autant plus grands que les 
applications seront decentralise es. Et vice versa, les applications pourront 

20 etre d'autant plus decentralisees, que les risques cote terminaux seront 
maitrises. Par exemple, on peut envisager des applications de type porte- 
monnaie, dans lesquellcs les transactions (debit de la carte acheteur/credit 
de la carte commergant) se feront de carte a carte, sans necessiter une 
consolidation des transactions au niveau d'un serveur central. 

25 II resulte de ce qui precede, qu'un terminal peut potcntiellement 

contenir un ensemble d'informations voire des logiciels, sur la 
confidentialite et l'integrite desqucls repose la securite de l'application. 
Commc exemple, on peut citer des cles secretes utilisees pour 
l'authentification du module terminal vis-a-vis de la carte, ou pour le 

30 chiffrement de donnees entre un serveur et le module terminal lecteur de 
carte. Or, un fraudeur peut profiter du fait d'avoir a sa disposition un 
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terminal pour analyser son fonctionnement et acceder aux informations et 
logiciels confidentiels. 

II faut egalement noter que les applications auxquelles il est fait 
reference ici, telles que le commerce ou le courrier electronique, sont la 
5 plupart du temps mises en oeuvre a travers le reseau Internet. II est bien 
connu des experts qu'un ordinateur personnel ou PC connecte au reseau 
Internet est tres vulnerable aux logiciels de type virus, qui peuvent etre 
installes et executes sur le PC de l'utilisateur sans meme qu'il le sache et 
sans qu'il ait laisse un acces physique a son ordinateur a qui que ce soit. Le 
10 cote totalement invisible de ce type de menace represente le reel danger qui 
limite a Theure actuelle le deploiement des applications transactionnelles 
utilisant Internet. Les memes commentaires peuvent s'appliquer aux 
applications de commerce electroniques envisagees a partir des reseaux 
cables de television en utilisant des decodeurs ou "set-top box" raccordes au 
15 poste de television et comportant un ou deux lecteurs de cartes a puce. 

Les risques au niveau du systeme sont alors les suivants : 

• Attaque sur Fintegrite du fournisseur de services 
cryptographiques et du fournisseur de services applicatifs visant a 
modifier le comportement du module terminal : a titre d'exemple, le 

20 module terminal est modifie de maniere a capturer les informations liees a 
la carte, stocker les informations obtenues pour ensuite les communiquer a 
un faux serveur. Cette attaque peut etre realisee a l'insu de Tutilisateur 
legitime (substitution du module terminal de l'utilisateur ou prct d'un 
module terminal modifie). Cette attaque peut ensuite se generaliser sous 

25 la forme de la diffusion de modules terminaux contrefaits ; 

• Attaque sur la confidentialite du fournisseur de services 
cryptographiques, visant a se procurer les cles cryptographiques quil 
manipule, lesquelles cles sont par exemple stockees sur le disque dur d'un 
ordinateur. 

30 • Attaque vis-a-vis d f autres cartes, hasee sur une capacite a pouvoir 

s'authentifier vis-a-vis de ces cartes, grace aux secrets decouverts par une 
attaque sur la confidentialite du fournisseur de services. 
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• Attaque sur l'integrite et la confidentiality des communications 
entre les differentes entites (fournisseurs de services applicatifs, 
fournisseurs de services cryptographiques, lecteur de carte a circuit 
integre, carte a circuit integre, serveur) permettant de rompre la chaine de 

5 confiance etablie entre ces elements . Par exemple: 

1 - dechiffrement des communications entre serveur et 

terminaux ; 

2 - insertion dun logiciel tiers entre le fournisseur de services 
applicatifs et le fournisseur de services cryptographiques visant a rompre 

10 la chaine de confiance entre ces deux logiciels ou bien substitution du 
logiciel applicatif par un logiciel tiers visant a faire executer au fournisseur 
de services de securite des requetes de securite dans un but different de 
celui de 1' application connue de 1'utilisateur. 

• Attaque sur les serveurs (dans le cas d'une application en mode 
15 connecte) : connexion d'un terminal contrefait a un serveur, emulation 

d'un couple module terminal-carte a circuit integre pour obtenir des 
a vantages. 

Ainsi, une attaque sur la chaine de confiance entre le fournisseur de 
services cryptographiques et le fournisseur de services applicatifs, dans le 
20 cadre dune application requerant la signature dune transaction 
electronique a 1'aide d'une carte a circuit integre, est illustree ci-apres. Le 
deroulement de la transaction est le suivant : 

- Etape 1 : verification du code confidentiel personnel (PIN) de 
Tutilisateur, que celui-ci introduit par un clavier associe a son module 

25 terminal, le code introduit etant transmis a la carte pour verification par 
cette dernicre. 

- Etape 2 : authentication du module terminal. Ce dernier envoie 
une commando "demande challenge". (Un challenge est un nombre 
aleatoire ou pseudo-aleatoire). La carte a circuit integre genere le challenge 

30 et le transmet au module terminal. Le module terminal envoic a la carte 
une commande "authentication externe' 1 accompagnee d'une reponse 
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constitute du challenge chiffrc par une clc dctcnuc par le module terminal. 
La carte a circuit integre verifie alors la reponse rogue. 

- Etape 3 : si les etapes 1 et 2 se sont deroulees de maniere satisfaisante, la 
carte a circuit integre est prete a recevoir et executer la commande 
5 signature, e'est-a-dire une commande de chiffrement, au moyen d'une clc 
secrete stockee dans la carte, du resultat d'une operation de hachage 
realisee sur la transaction saisie par l'utilisateur. Apres ce chiffrement, la 
carte emet, a destination du module terminal, la signature constitute du 
resultat de Toperation de hachage ("hash") ainsi chiffre. 

10 Si l'integrite du logiciel ^application (fournisseur de services 

applicatifs et son fournisseur de services cryptographiques) n'est pas 
assuree, un fraudeur n*a pas besoin de connaitre les cles et codes secrets 
pour pirater le systeme de transaction : il lui suffit d'implanter dans le 
module terminal, par exemple dans l'ordinateur personnel auquel est 

15 raccorde un lecteur de carte a circuit integre, un logiciel de type virus qui, a 
l'etape 3, detourne les donnees authentiques a signer et envoie a la carte 
des donnees falsifiees. Etant donne que les etapes 1 et 2 se sont deroulees 
de maniere satisfaisante, la carte signera alors les donnees falsifiees sur la 
base du PIN que Tutilisateur a lui-meme introduit et celui-ci croira que la 

20 carte va signer scs propres donnees. 

Lexemple precedant montre la neccssite de proteger non seulement 
les informations confidentielles mises en oeuvre dans le cadre d'une 
transaction, mais aussi Fintegrite de la transaction, cest-a-dire l'integrite 
du comportement de chaque entite intervenant dans la transaction, ainsi 

25 que l'integrite du comportement d'ensemble du logiciel en veillant a la non 
rupture de la chaine de confiance etablie entre les differentes entites. 

Les risques d'attaque mentionnes ci-dessus sont a Theure actuelle en 
partie couverts par des terminaux - lecteurs dc carte a circuit integre 
integrant des modules de securite (SAM, analogue a une carte a circuit 

30 integre) qui sont utilises notamment dans le cadre des applications porte- 
monnaie. Le lecteur est alors personnalise par un SAM, et attribue a un 
commergant, les cartes lues etant celles des clients. Ce SAM contient des 



BNSDOCID: <FR 277901 8A1_I_> 



« .1 
I »» 

2779018 

9 

informations secretes et est susceptible d'executer des algorithmes utilisant 
ces informations secretes. Mais, il ne contient pas de moyens permettant 
notamment de piloter les communications avec Tutilisateur, avec la carte a 
circuit integre et/ou avec des moyens electroniques exterieurs, et done la 
5 securisation de transaction n'est pas assuree. 

II est egalement connu par le document WO 95/04328 un module 
terminal comprenant des moyens d'interface avec l'utilisateur et des 
moyens d'interface avec des moyens electroniques exterieurs (ci-apres 
appeles moyens d'interface externc), comportant unc interface avec une 

10 carte a micro-circuit. Le microprocesseur du module terminal comprend des 
moyens de stockage de donnees (ROM, EEPROM, RAM). Les donnees 
stockees en memoire permanente (ROM) comprennent entre autres un 
systcme d'exploitation, des gestionnaires de composants externes pilotant 
les interfaces et peripheriques, et un interpreteur capable d'interpreter des 

15 modules programmes ecrits dans un langage specifique. Les modules 
programmes sont stockes dans la memoire semi-permanente EEPROM et 
peuvent etre charges en memoire temporaire RAM pour etre executes par 
le microprocesseur lors de l'activation d'une interface appropriee par 
l'utilisateur. Les modules programmes, correspondant aux applications du 

20 module terminal, sont telecharges dans la memoire EEPROM du 
microprocesseur ou dans une carte a micro-circuit a partir d'un serve ur 
externe. 

Le module terminal du document WO95/04328 peut fonctionner : 

- en mode module terminal autonome, le microprocesseur du module 
25 terminal executant un module programme stocke dans une memoire 

interne, sans faire appel a une carte a circuit integre ; 

- en mode terminal autonome, dans lequel un module programme 
stocke dans une carte est execute ; 

- en mode terminal etendu ou connecte, dans lequel le 
30 microprocesseur du module terminal ou celui de la carte execute un module 

programme et une communication est etablie via le telephone, un modem 
ou une liaison directe avec un fournisseur de services ou un serveur ; 
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- en mode lecteur de carte a memoire transparent, dans lequel des 
instructions regues par une liaison serie sont transmises directement a la 
carte et vice et versa. 

Le terminal decrit au document WO 95/04328 ne traite pas des 
problemes de securite vises par l'invention dans la mesure ou il ne decrit 
pas comment securiser une transaction en garantissant l'integrite du 
comportement d'ensemble du logiciel executant la transaction. II ne decrit 
notamment pas de moyens permettant Texecution de requetes de haut 
niveau emises par Tapplication, ni comment garantir Torigine, l'integrite et 
la confidentiality de ces moyens. 

La presente invention vise a fournir un terminal pour la mise en 
oeuvre de transactions electroniques securisees, du type comprenant un, 
dispositif personnel de securite tel qu'une carte a circuit integre ou autre 
dispositif remplissant les memes fonctions, et un module terminal dote de 
moyens d'interface avec le dispositif personnel de securite, tels qu'un 
lecteur de carte a circuit integre, et offrant de par son architecture logicielle 
et/ou materielle et les mecanismes de securite qu'il comporte, un niveau de 
securite ameliore, compatible avec le fait que le terminal peut etre place 
sous le controle des utilisateurs, (par opposition a des terminaux controles 
par des operateurs). 

Un deuxieme objectif de Tinvention est d*assurer ce meme niveau de 
securite tout en permettant Tintegration, en cours d'utilisation, de fonctions 
ou applications nouvelles, ou 1 'evolution des fonctions ou applications 
existantes sans avoir recours a une multitude de modules terminaux 
differents ou au changement des modules terminaux lors des evolutions. 

A cet effet, l'invention a pour objct un terminal pour la mise en 
oeuvre, par un utilisateur, de transactions electroniques securisees en 
liaison avec au moins une application implantee sur une unite 
electronique, ledit terminal comprenant : 

- un module terminal comportant au moins : 
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• des premiers moyens d'interface avec ladite application 
pour en recevoir des requetes relatives auxdites 
transactions, 

• des deuxiemes moyens d'interface avec ledit utilisateur, 

• des troisiemes moyens d'interface avec un dispositif 
personnel de securite, 

• des premiers moyens de traitement de donnees comprenant 
au moins des premiers moyens logiciels de pilotage desdits 
moyens d'interface, et 

- un dispositif personnel de securite comportant au moins des 
deuxiemes moyens de traitement de donnees securisees comprenant au 
moins des deuxiemes moyens logiciels d'execution de commandes 
elementaires et des moyens d'execution de calculs cryptographiques, 
caracterise en ce que : 

- ledit terminal est adapte pour recevoir lesdites requetes de ladite 
application implantee sur ladite unite electronique sous la forme de 
requetes de haut niveau independantes dudit dispositif personnel de 
securite, 

- Tun au moins dudit module terminal et dudit dispositif personnel 
de securite comprend : 

• au moins une memoire reprogrammable de stockage d'au 
moins un logiciel filtre, traduisant lesdites requetes de 
haut niveau en sequences d'echange de donnees entre ledit 
module terminal et ledit utilisateur via lesdits seconds 
moyens d'interface, exccutables par lesdits premiers 
moyens logiciels desdits premiers moyens de traitement de 
donnees, et en sequences de commandes elementaires 
executables par lesdits deuxiemes moyens de traitement 
de donnees, et 

• des moyens de protection dudit logiciel filtre pour 
empecher toute lecture et/ou modification dudit logiciel par 
une personne non autorisee, et 
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- Tun au moins desdits premiers et deuxiemes moyens de traitement 
de donnees comprend un dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre. 

Uinvention definie ci-dessus permet d'atteindre les objectifs de 
5 securite requis par la mise en oeuvre de transactions electroniques grace 
au fait qu'elle decrit un filtre ou pare-feu (" firewall ") entrc le monde 
exterieur, c J est-a-dire les applications elles-memes, et les moyens de 
securite et peripheriques quil gere, au moyen d'une interface logique 
permettant la definition du format des requetes de haut niveau emises par 
10 les applications et d'un logiciel de traduction assurant le traitement de ces 
requetes. 

De preference, le terminal suivant l'invention comprend une ou 
plusieurs des caracteristiques suivantes, eventuellement combinees : 

- ledit dispositif d'execution du logiciel filtre comprend des premiers 
15 moyens d'identification et/ou d'authentification de ladite application 

implantee dans ladite unite ou de 1'origine desdites requetes emises par 
ladite application ; 

- ledit dispositif de traitement de donnees pour l'execution dudit 
logiciel filtre comprend des moyens de verification de l'integrite des 

20 donnees regue de ladite application ; 

- ledit dispositif de traitement de donnees pour l'execution dudit 
logiciel filtre comprend des moyens centralises de controle des conditions 
d'utilisation des services du dispositif personnel de securite, en fonction de 
ladite application et/ou dudit utilisateur ; 

25 - ledit dispositif de traitement de donnees pour l'execution dudit 

logiciel filtre comprend : 

• des moyens pour commander le chargement securise dudit 
logiciel filtre dans ladite memoire programmable, via Tun 
desdits premiers ou troisiemes moyens d'interface, a partir 
30 d'une entite exterieure audit module, et 
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• des premiers moyens de controle d'acees pour n'autoriser 
ledit chargement dudit logiciel filtre qu'en reponse a au 
moins une condition predefinie ; 

- le terminal comprend des deuxiemes moyens d'authentification 
5 desdits premiers moyens de traitement de donnees par lesdits deuxiemes 

moyens de traitement de donnees ; 

- le terminal comprend des troisiemes moyens d'authentification 
desdits deuxiemes moyens de traitement de donnees par lesdits premiers 
moyens de traitement de donnees ; 

10 - le terminal comprend un premier canal de communication entre 

lesdits premiers et deuxiemes moyens de traitement de donnees et des 
premiers moyens de securisation dudit premier canal de communication ; 

- le terminal comprend des quatrieme moyens d'authentification 
dudit module terminal par ledit utilisateur, independamment de ladite 

15 carte ; 

- lesdits quatriemes moyens d'authentification comprennent des 
moyens de calcul, par lesdits premiers moyens de traitement de donnees, et 
de presentation audit utilisateur, via lesdits deuxieme moyens d'interface, 
d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 

20 un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees ; 

- le terminal comprend des cinquiemes moyens d'authentification 
conjointe dudit module terminal et de ladite carte par ledit utilisateur ; 

- lesdits cinquiemes moyens d'authentification comprennent des 
25 moyens de calcul, par ledit dispositif d'execution dudit logiciel, et de 

presentation audit utilisateur, via lesdits deuxiemes moyens d'interface, 
d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un deuxieme et un troisieme parametres secrets stockes respectivement 
dans lesdits premiers et deuxiemes moyens de traitement de donnees. 
30 Selon une premiere forme de realisation de l'invention, le module 

terminal est constitue par un ordinateur personnel et ladite memoire 
programmable est constitute par le disque dudit ordinateur, ledit logiciel 
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filtre est execute sur Tordinateur personnel ou bien dans un deuxieme 

mode d'execution, ladite memoire programmable est implantee sur un 

serveur securise relie a l'ordinateur personnel, la partie du logiciel filtre 

devant etre protege etant executee sur ledit serveur securise. 

5 Selon une deuxieme forme de realisation de Tinvention, le module 

terminal est un dispositif, tel qu'un lecteur dedie de carte a circuit integre, 
auquel cas ledit dispositif personnel de securite est une carte a circuit 
integre, ou un ordinateur personnel. Ce mode de realisation se differencie 
du precedent par le fait que ladite memoire programmable est integree 
10 dans un microprocesseur securise, ledit logiciel filtre etant execute dans 
ledit microprocesseur securise. Le module terminal dedie peut 
eventuellement etre portable. 

Selon les modes d'execution de cette deuxieme forme de realisation 
de Tinvention, la memoire programmable pour le chargement et le stockage 
15 du logiciel filtre peut etre disposee dans le dispositif personnel de securite 
ou dans le module terminal. 
Dans ce dernier cas : 

• le module terminal peut comporter un seul microprocesseur pour 
l'execution du logiciel filtre et le pilotage des interfaces, ou bien deux 
20 microprocesseurs remplissant respectivement Tune et l'autre de ces deux 
fonctions. 

- de preference ledit logiciel filtre comprend au moins un parametre 
secret et lesdits deuxiemes moyens de traitement de donnees comprennent 
des seconds moyens de controle d'acces conditionnels pour n'autoriser 

25 l'execution desdits calculs cryptographiques, en reponse a des commandes 
elementaires generees par ledit logiciel filtre, que si au moins une seconde 
condition predefinie, fonction dudit parametre secret est remplie 

Selon d'autres caracteristiques de Tinvention, lorsque le module 
terminal comporte deux microprocesseurs pour l'execution du logiciel filtre 

30 et le pilotage des interfaces : 

- le terminal comprend un deuxieme canal de communication entre 
lesdits premiers moyens logiciels de pilotage des moyens d'interface et ledit 
deuxieme microprocesseur et des deuxiemes moyens de securisation dudit 
deuxieme canal de communication ; 

35 - lesdits deuxiemes moyens de securisation comprennent des moyens 

de chiffrement et dechiflfrement, par lesdits premiers moyens logiciels de 
pilotage des moyens d'interface et ledit deuxieme microprocesseur, des 
donnees transmises sur ledit deuxieme canal de communication, sur la 
base d # au moins un cinquieme parametre secret memorise dans lesdits 

40 moyens de stockage ; 

-lesdits deuxiemes moyens de securisation comprennent des 
premiers moyens physiques de protection dudit deuxieme canal de 
communication contre les intrusions. 

Differents modes de realisation de Tinvention seront maintenant 

45 decrits en se referant aux dessins annexes, en particulier des modes de 
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realisation dans lesquels le logiciel filtre est charge et execute dans le 
terminal de maniere a garantir a la fois son origine, sa confidentiality et 
son integrite, ce logiciel pouvant aussi authentifier Torigine des requetes 
qui lui sont envoyees, si la confiance dans les interfaces avec l'utilisateur, 
c'est-a-dire Tecran et le clavier, ne peut etre garantie. 

- la Figure 1 est un schema illustrant l'architecture fonctionnelle 
d'un systeme pour la mise en ceuvre de transactions securisees au moyen 
d'un terminal selon Tinvention ; 

- la Figure 2A presente une premiere forme de realisation de 
l'invention ou le terminal est un ordinateur personnel couple a une carte a 
circuit integre par un lecteur, Tapplication pouvant etre elle meme 
implantee sur l'ordinateur personnel ou sur un serveur distant. 

- la Figure 2B decrit l'architecture fonctionnelle d'une variante 
d execution de la premiere forme de realisation de 1'invention, dans laquelle 
l'ordinateur personnel servant de terminal est en liaison avec un serveur 
de securite sur lequel est implante le logiciel filtre ; 

- la Figure 3 presente un systeme de transaction mis en oeuvre grace 
a un terminal selon une deuxieme forme de realisation de l'invention, qui 
peut etre un produit dedie re lie en tant que peripherique a un ordinateur 
personnel ou directement a un serveur ou bien construit autour d'un 
ordinateur personnel ; 

- la Figure 4A est un schema bloc de l'architecture materielle des 
circuits electroniques d'un premier mode d'execution du terminal de la 
figure 3 ; 

- la Figure 4B est un schema fonctionnel illustrant une premiere 
configuration d'architecture logicielle du terminal de la figure 4A ; 

- la Figure 4C est un schema fonctionnel similaire a celui de la figure 
4B presentant une seconde configuration d'architecture logicielle du 
terminal de la figure 4A ; 

- la Figure 5 est un schema bloc de Tarchitecture materielle des 

circuits electroniques d'un deuxieme mode d'execution du terminal 
autonome de la figure 3 ; 

- la Figure 6 est un schema bloc de Tarchitecture materielle des 
circuits electroniques d f un troisieme mode d'execution du terminal 
autonome de la figure 3 ; 

- la Figure 7 est un schema illustrant Tarchitecture logicielle 
conventionnelle d'une carte a micro-circuit ; 

- la Figure 8A est un schema illustrant Tarchitecture logicielle d'un 
systeme de transaction comprenant le terminal de la figure 4A ; 

- la Figure 8B est un schema illustrant Farchitecture logicielle d'un 
systeme de transaction comprenant le terminal de la figure 6 ; 
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- la Figure 9 est un diagramme illustrant la mise en ceuvre d'une 
application de commerce electronique au moyen d'un systeme selon 
Tinvention ; et 

- la Figure 10 est un organigramme illustrant le processus de 
telechargement d'un programme dans une memoire reprogrammable du 
module terminal de la figure 4A ou 5, ou d'une carte a micro-circuit 
connectee a celui-ci ; 

En se referant a la figure 1, un systeme de mise en oeuvre de 
transactions securisees comprend un module terminal 1 de lecture d'une 
carte a circuit integre 31 ou equivalent. Le module terminal 1 comprend un 
filtre F constitue d'un module logiciel traitant des requetes de haut niveau 
emises par des fournisseurs de services applicatifs FAp externes au module 
terminal 1 au moyen d'une interface logique F-API, et des interfaces 
utilisateur telles qu'un ecran d'affichage 4 et un clavier 5 permet'tant la 
lecture et l'introduction de donnees par un utilisateur. II comprend 
egalement un lecteur ou interface de communication 6 avec une carte a 
micro-circuit ou tout dispositif de securite equivalent personnel a 
1'utilisateur, du type jeton (token), " JavaRing " (produit de la societe SUN), 
" iButton " (produit de la societe Dallas Semiconductor Corporation), jeton 
logiciel (soft token), ainsi que des interfaces de communication avec au 
moins un fournisseur de services applicatifs FAp qui peut, par exemple, 
etre implante sur un ordinateur personnel PC et/ou sur un serve ur Sap , 
lechange de donnees s'effectuant alors via un reseau R de transmissions de 
donnees ou de telecommunications. 

Le module terminal 1 peut etre un terminal dedie ou etre intcgrc 
dans un ordinateur personnel de type PC, ou bien dans un ordinateur- 
terminal NC dedie aux applications en reseau (Network Computer) ou 
encore dans un decodeur de reseau de television cable (Set Top Box). 

Le module terminal 1 peut eventuellement etre utilise en mode 
autonome, par exemple pour lire des informations, telles que le contenu 
d'un porte-monnaie electronique, contenues dans une memoire de la carte 
31. 
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Pour la misc en oeuvre de transactions securisees, le module 
terminal 1 peut etre utilise en mode connecte avec un serveur Sap ou en 
mode non connecte, l'application FAp etant alors executee localement, par 
exemple sur l'ordinateur personnel PC : Tel est le cas, par exemple, 
5 lorsqu'un utilisateur doit signer un courrier electronique ou des 
transactions qui seront envoyees a un destinataire. Unc telle operation 
n'implique pas de connexion avec un serveur applicatif au moment ou la 
carte 31 est utilisee. 

En mode connecte, comme represents a la figure 3 dans le cas d f un 
10 module terminal 1 dedie, celui-ci peut etre connecte au serveur Sap sur 
lequel est implante l'application FAp par l'intermediaire de l'ordinateur PC 
et d'un reseau R tel qu'Internet, ou par l'intermediaire du reseau 
telephonique R via un modem MO ou une liaison DTMF avec un combine 
telephonique CT. Certaines transactions, telles que le rechargement d'un 
15 porte-monnaie electronique dans la carte 31, peuvent necessiter un 
echange bidirectionnel de donnees avec le serveur Sap et sont, par 
consequent, plus ergonomiques en mode connecte. 

La mise en oeuvre d ! une transaction securisee avec un module 
terminal 1 et une carte 31 implique que des requetes logicielles de haut 
20 niveau (par exemple signature, authentification , etc..) soient transmises 
du programme applicatif implante par exemple dans le serveur Sap (mode 
connecte) ou dans l'ordinateur personnel PC ou NC a la disposition de 
l'utilisateur (mode non connecte, par exemple signature de courrier 
electronique), au filtre F assurant le pilotage des moyens de securite. Ce 
25 filtre F effectue le traitement de ces requetes au raoyen dun logiciel dc 
traduction, s'assurant ainsi que l'application ou tout autre logiciel de type 
virus ne peuvent avoir un acces direct aux fonctions cryptographiques de la 
carte a circuit integre 31. 

Le filtre F repond aux objectifs de securite recherches dans la 
30 mesure ou le logiciel de traduction qu'il comporte verifie l'identite de 
Tapplication emettant les requetes de services ( ou directement Torigine des 
requetes) et est implante de maniere a garantir l'integrite et la 
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confide ntialite des operations et donnees elementaires mises en oeuvre 
pour repondre aux requetes de services. 

Un logiciel de traduction est un logiciel configure pour un type de 
carte a micro-circuit et traduit des requetes de haut niveau revues des 
logiciels duplication en sequences de commandes elementaires 
executables par les cartes a micro-circuit et en sequences d'echanges de 
donnees avec l'utilisateur. 

Les requetes de haut niveau sont une liste de commandes utilisees 
par les programmes applicatifs pour faire appel aux services de securite 
necessaires pour identifier et authentifier la personne realisant la 
transaction et garantir Torigine, l'integrite et eventuellement la non- 
repudiation de la transaction. Une requete de haut niveau provenant d'une 
application (se trouvant sur un serveur ou sur l'ordinateur personnel PC ou 
NC) est caracterisee par le fait que : 

elle est independante des moyens de base (moyens 
cryptographiques par exemple) mis en oeuvre pour satisfaire a sa demande. 
Ainsi, une requete de haut niveau peut s'appuyer sur des moyens purement 
logiciels. Reciproquement, plusieurs applications peuvent utiliser le meme 
fournisseur de services de securite, faisant alors appel a la memo interface 
logique F-API definissant ces requetes. 

- le traiternent de la requete permet de lier la transaction de maniere 
certainc a l'utilisateur effectuant la transaction a l'aide d f au moins un 
parametre secret, fixe ou variable, fourni par la carte a circuit integre de 
l'utilisateur. 

- elle eomporte eventuellement une information ou des informations 
permettant au logiciel filtre F de verifier son origine et son integrite. 
Uauthentification peut se faire a Taide d'un code de type " Message 
Authentication Code ou MAC " ou bien de type " signature electronique " 
associe a la requete. 

- dans le cas ou la transaction n'est pas saisic par l'utilisateur sur le 
module terminal lui-meme, la requete contient eventuellement 
rinformation necessaire pour permettre a Tutilisateur de verifier, s'il le 
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souhaite et si le module terminal supporte cette option, les donnecs 
essentielles de la transaction. 

L'interface logique F-API permettant lechange des requetes de 
securite de haut niveau entre les applications et le logiciel de traduction du 
5 filtre F peut etre standardisee de maniere a etre commune a differents 
programmes applicatifs. Ainsi, la requete de type " Signature " peut etre 
utilisee par une messagerie electronique ou par un logiciel d'achat. II est 
ainsi possible de changer l'application tout en conservant le fournisseur de 
services de securite ou reciproquement de remplacer le fournisseur de 

10 services de securite sans modifier l'application. 

Afin de garantir l'integrite de la chaine de confiance entre 
l'application et la carte, le logiciel filtre F de traduction identifie, voire 
authentifie l'origine et l'integrite des requetes qu'il regoit. Differentes 
methodes peuvent etre envisagees pour identifier l'application emettant les 

15 requetes ; 

- un code ^identification peut etre integre dans la requete elle- 
meme puis verifie par le logiciel filtre a partir des informations quil 
contient ou qui peuvent etre stockees dans la carte a circuit integre ; 

- le meme but peut etre atteint en comparant le resultat dune 
20 operation de hachage execute par le logiciel filtre sur le logiciel applicatif 

emettant la requete avec un resultat prealablement stocke dans la carte 
par exemple. Cette derniere solution est particulierement adaptee au cas 
ou lapplication est implantee sur le PC de Futilisateur ; 

- l'authentification peut egalement etre realisee en associant a la 
25 requete un code de type " MAC " calcule a partir du contenu de la requete 

et dune cle secrete partagee entre l'application et le logiciel filtre. Un 
principe equivak ;.t peut etre utilise avec une signature de la requete 
calculee avec les memos informations et une cle privee connue de 
l'application, la signature etant verifiee avec la cle publique correspondante 
30 connue du logiciel filtre. 

La figure 2A decrit une premiere forme de realisation pour laquelle 
le module terminal 1 est un ordinateur personnel PC 102, la liaison avec la 
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carte a circuit integre 31 s effectuant au moyen d'un lecteur 6 connecte ou 
integre a l'ordinateur PC 102. L'ordinateur personnel 102 comprend des 
interfaces d'entree/sortie 102a avec le lecteur 6 et le serveur Sap. Suivant 
la nature du lecteur connecte au PC, les elements d'interface avec 
5 Tutilisateur peuvent etre le clavier et Tecran du PC lui-meme, ou bien un 
clavier et/ou un afficheur de type LCD par exemple implante sur le lecteur. 
Dans ce mode de realisation, le filtre F est implante et execute sur 
l'ordinateur PC 102. Le filtre F, et done le logiciel de traduction quil 
contient, peut alors etre stocke sur le disque dur HD 102b de l'ordinateur 

10 personnel 102. Pour etre execute par l'unite de calcul ou microprocesseur 
102c du PC, le logiciel filtre est ensuite charge dans la memoire vive RAM 
102d de l'ordinateur personnel 102. 

Le disque dur d'un ordinateur PC etant difficile a proteger, le logiciel 
filtre F, ou tout au moins la partie sensible de ce logiciel, peut etre chiffre. 

15 Pour cela il peut etre decompose en au moins 2 modules : un module de 
chargement/dechiffrement Fed et un deuxieme module correspondant au 
logiciel filtre lui-meme chiffre, Fchi. Le premier module permet le 
chargement du deuxieme module en memoire RAM, son dechiffrement, 
puis le lancement de son execution. En se referant a la Figure 2A, le 

20 module logiciel dechiffre et charge en RAM est nomme Fdec. 

^utilisation d'un langage de programmation tel que Java, par des 
mecanismes de securite intrinseques au langage lui-meme, permet de 
renforcer la protection du logiciel 

Une autre methode de verification de l'integrite du logiciel filtre est 

25 de faire signer le deuxieme module par une autorite garante du contenu du 
logiciel filtre au moyen d'une cle privee conservee secrete par cette autorite. 
Le premier module de chargement effectue alors, simultanement a 
loperation de dechiffrement, une operation de hachage sur le deuxieme 
module et verifie la signature de ce module au moyen de la cle publique 

30 associee a la cle privee de Tautorite. 

L'ensemble des operations decrites dans les paragraphes precedents 
implique Tutilisation de cles sur lesquelles reposent la securite de 
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l'application. Ces cles pcuvent etre cachees dans le module de chargement, 
stockees dans le lecteur 6, ou bien stockees dans la carte a circuit integre 
31 elle-meme. Un autre mode de realisation possible consiste a implanter 
le module de dechiffrement et de verification d'integrite dans le lecteur 6. 
5 L'objet de l'invention est de sassurer quun pirate ne puisse pas 

utiliser la carte a circuit integre dun utilisateur a son insu, par exemple en 
modifiant le logiciel filtre pilotant la carte ou le logiciel application, ou bien 
en implantant un logiciel virus qui court-circuiterait l'application ou le 
logiciel filtre mis en place. Le mode de realisation decrit precede mment et 
10 ses variantes repondent a ces risques, en permettant la verification: 

- de 1'integrite du logiciel filtre et 

- de lorigine et de 1'integrite des commandes envoyees a la carte a 
travcrs le lecteur 6, en les authentifiant a 1'aide d'un code de type MAC par 
exemple. La verification du MAC peut etre effectuee par le lecteur 6 ou la 

15 carte 31. Une protection equivalente pourrait etre obtenue en chiffrant le 
dialogue entre le logiciel filtre et le lecteur 6. Un logiciel virus cherchant a 
court-circuiter le logiciel filtre enverrait done des commandes non 
authentifiees ou incorrectement chiffrees au lecteur 6 ou a la carte 31 ; en 
consequence ces commandes seraient rejetees par le lecteur ou la carte, 

20 empechant le virus d'arriver a ses fins. Afin quun fraudeur ne puisse 
determiner les cles utilisees sur un terminal en analysant le 
fonctionnement dun autre terminal les cles devront etre diversifiees. 

Les mecanismes de chiffrement et de signature qui peuvent etre 
envisages pour repondre au besoin de protection du logiciel filtre sont bien 

25 connus des hommes de l'art et reposcnt sur les techniques 
cryptographiques existantes exposees, par exemple, dans l'ouvrage de 
Bruce Schneier intitule "Applied Cryptography, Protocols, Algorithms, and 
Source Code in C" publie chez John Wiley and Sons, Inc., 1994, et qui ne 
seront done pas decrits en detail ici. 

30 L'implantation du logiciel filtre dans un ordinateur personnel PC ne 

permet pas de garantir le meme degre de securite qu'une implantation 
dans un terminal dedie pouvant offrir des mecanismes de securite 
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materiels supplemcntaircs comme decrit dans les autrcs formes de 
realisation presentees ulterieurement, ces mecanismes procurant une 
protection physique au logiciel filtre et aux secrets qu'il contient. 

Une variante d'execution du mode de realisation de la figure 2A est 
5 prcsente a la figure 2B. Cette variante met a profit la souplesse et la 
facilite de connexion d'un ordinateur personnel a un reseau. Cette 
connexion permet en effet le deport dune partie du logiciel filtre, et en 
particulier des secrets, dans un serveur securise Ssec. 

Dans le cas de la Figure 2B, le logiciel filtre est decompose en deux 

10 modules logiciels, un module F-PC implante sur Tordinateur personnel PC 
102 et un module F-SE implante sur un serveur de securite Ssec. La 
memoire programmable a laquelle il est reference precedemment et 
stockant le logiciel filtre, est done dans cette variante d'execution 
implantee dans le serveur securise Ssec, e'est-a-dire hors d'atteinte 

15 dutilisateurs non autorises. De meme, le logiciel filtre, ou tout au moins la 
partie sensible du logiciel filtre F-SE requerant une protection, est execute 
sur le serveur securise Ssec* 

Le module logiciel F-PC implante sur l'ordinateur personnel PC 102 
est relie par un canal securise CS au serveur de securite Ssec. Ce canal 

20 securise est en fait un canal de communication chiffre permettant un 
echange de donnees protege entre les deux modules logiciels filtre F-PC et 
F-SE et eventuellement une authentification reciproque des deux modules 
F-PC et F-SE. Ce canal securise peut, par exemple, reposer sur des 
protocoles de communication bien connus tels que SSL. 

25 Letablissement de ce canal securise CS permet done au premier 

module logiciel filtre F-PC de transmettre au deuxieme module logiciel 
filtre F-SE, les requetes regues de Tapplication FAp a travers Tinterface 
logique F-API, ainsi que les informations liees a Tidentification de 
Tapplication emettant ces requetes. Ce deuxieme module logiciel F-SE va 

30 ensuite, apres avoir verifie les informations relatives a Tapplication et, en 
fonction de Tapplication et eventuellement de des droits de Tutilisateur, 
traduire ces requetes en une suite de commandes destinees a la carte a 
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puce 31 et au pilotage des echanges de donnees avec l'utilisateur. Ces 
commandes crees par le module F-SE sont ensuite envoyees au premier 
module F-PC qui les aiguille vers l'element concerne : le PC lui meme pour 
ce qui concerne les commandes de pilotage des echanges avec l'utilisateur 
5 ou bien la carte a circuit integre. Pour que les commandes de pilotage des 
echanges avec l'utilisateur puissent etre executees sur le PC, le PC devra 
comporter un module logiciel I, dit interpreteur. Ce logiciel interpreteur 
permet l'affichage de messages sur l'ecran 4 et la saisie d'information par 
l'utilisateur sur le clavier 5. Ce module logiciel interpreteur sera plus 

10 precisement decrit en regard des figures 4B et 4C. 

Ce second mode d'execution est base sur les mecanismes decrits a 
propos du premier mode d'execution de la figure 2A en ce qui concerne 
Identification de l'application (hachage ou signature par exemple) et la 
protection des commandes envoyees a la carte (ajout d'un code de type 

15 authentication de message MAC, par exemple). II offre par contre un 
degre de securite superieur dans la mesure ou le module logiciel filtre F-SE 
assurant la traduction des requetes de haut niveau regues de l'application 
Fap est execute dans un environnement securise. Dans le contexte de 
l'invention, le serveur Ssec est dit securise s'il n'est pas accessible 

20 physiquement ainsi que logiquement, c'est dire a travers une connexion 
reseau, a des personnes non autorisees. 

Ce second mode d'execution de la figure 2B est bien adapte a des 
applications mises en oeuvre dans un environnement ferme ou privatif 
controle par une autorite centrale, car elle necessite un serveur protege 

25 dont T administration doit etre centralist . Ce second mode d ! execution offre 
de plus la possibility de definir une politique d'acces centralisee aux 
services cryptographiques offerts par la carte a circuit integre. Cette 
politique d'acces peut etre basee sur les applications requerant les services 
de la carte et sur les utilisateurs eux memes. Elle permet, par exemple, 

30 dans la cas d'une entreprise ayant distribue a ses employes ou a ses clients 
des cartes a circuit integre leur permettant de signer des courriers 
electroniques ainsi que des transactions bancaires, de s'assurer que seuls 
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les utilisateurs autorises pourront signer : ce mecanisme peut etre mis en 
oeuvre grace au canal securise CS. A chaque requete de signature ernise 
par une des applications consideree comme valide par lentreprise (la 
messagerie electronique et le logiciel de transactions bancaires), le module 
logiciel F-SE effectuera une demande d'authentification de l'utilisateur. 
Cette demande peut, par exemple, etre effectuee en envoyant un nombre 
aleatoire, challenge ou defi via le canal securise CS a la carte 31. Apres 
saisie par l'utilisateur de son code confidentiel, la carte a circuit integre 
calculera un mot de passe dynamique en chiffrant le defi a 1'aide d'une cle 
secrete qu'elle contient. Le mot de passe sera ensuite transmis via le canal 
CS au module logiciel F-SE. Le module logiciel F-SE, connaissant 
l'utilisateur et done la cle secrete contenue dans sa carte, comparera le mot 
de passe regu au mot de passe attendu. Ce mecanisme connu sous le nom 
d'authentification en mode challenge — reponse permet au module logiciel 
F-SE de valider l'identite de l'utilisateur. Ceci permet done a l'entreprise 
ayant remis les cartes a circuit integre aux utilisateurs de s'assurer que 
seuls les utilisateurs encore autorises peuvent par exemple signer des 
transactions bancaires. 

Le serveur Ssec, grace aux moyens securises et centralises qu'il 
represente, permet non seulement une implantation securisee du logiciel 
filtre F-SE mais aussi la possibility de mettre en place une politique 
centralisee de controle de Tutilisation des services de securite offerts par la 
carte a circuit integi'e. Le serveur Ssec permet la rnise en place d'une 
politique centralisee du fait qu f un meme serveur peut etre en liaison avec 
une pluralite des modules logiciels F-PC implantes sur les ordinateurs 
personnels d'une pluralite d'utilisateurs. Le serveur Ssec permet ainsi la 
definition et le controle centralises des conditions d utilisation des services 
de securite offerts par les cartes remises aux differents utilisateurs, en 
fonction du profil de Tapplication requerant les services et des droits 
desdits utilisateurs. La mise en place de cette politique centralisee 
implique done de stocker dans le serveur les informations necessaires, e'est- 
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a-dire les droits des utilisateurs d'utiliser tel service de securite en liaison 
avec telle application. 

Ce second mode d'execution de la figure 2B, bien adapte aux 
environnements prives, est par contre difficilement applicable a des 
5 applications ouvertes pour lesquelles la mise en place dun serveur central 
securise Ssec n'est pas envisageable. 

La Figure 3 illustre un module terminal reprenant des principes 
d'architecture fonctionnelle similaires a ceux de la Figure 2B dans une 
forme de realisation differente, ne necessitant pas de serveur centralise. Le 

10 module terminal selon la deuxieme forme de realisation de la Figure 3 
presente un tres haut degre de securite, lui permettant ainsi d'assurer 
directement la protection locale du logiciel filtre F. 

Dans le cas de la figure 3, le module terminal 1 se presente sous la 
forme d'un boitier, portable ou non, dont une face porte l'ecran d'affichage 4 

15 et le clavier 5 et dans lequel sont implantes des circuits electroniques, de 
preference de maniere telle que ceux-ci soient inaccessibles depuis 
I'exterieur. Le boitier 1 contient le lecteur 6 et presente une ouverture de 
reception de la carte a micro-circuit 31 dans le lecteur 6. Le mode 
d'execution illustre par les Figures 3, 4A, 4B et 4C ne doit pas etre 

20 considere corome se limitant a un terminal dedie. La description qui suit 
peut tout a fait etre appliquee a un terminal construit autour d'un 
ordinateur personnel de type PC ou NC. 

Selon un premier mode d'execution, illustre a la figure 4A, de cette 
deuxieme forme de realisation du module terminal de la figure 3, les 

25 circuits electroniques du module terminal 1 sont organises autour d f un 
microcontroleur standard 2 et d*un microprocesseur 3 securise, qui sont 
connectes entre eux par une liaison et implantes de maniere permanente 
dans le boitier du module 1. En variante, le microprocesseur 3 peut etre 
enfichable sur le module 1 au moyen d'un connecteur 41 represente en 

30 traits interrompus a la figure 4A. II est decrit ici un mode d'execution 
generique base sur un microcontroleur standard. Dans un mode d'execution 
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particulicr qui sera decrit ulterieurement, le microcontroleur 2 peut en fait 
etre un PC 102 du type de celui presente dans la Figure 2B. 

Le microcontroleur standard 2 comprend une unite de traitement 2a, 
de la memoire temporaire (RAM) 2b, et de la memoire permanente (ROM) 
5 2c. II s'agit de preference d'un microprocesseur "monochip" dont le 
programme est masque dans la memoire permanente 2c et qui integre dans 
un meme circuit integre des moyens de gestion ou pilotage ^interfaces 
standards, l'unite de traitement 2a et les memoires temporaire 2b et 
permanente 2c. 

10 Les interfaces ou peripheriques gerees par le microcontroleur 2 

comprennent notamment l'ecran 4 d'affichage de donnees, par exemple a 
cristaux liquides, le clavier 5 pour Introduction de donnees par un 
utilisateur, le lecteur 6 de carte a micro -circuit, une interface 7 de liaison 
externe, par exemple du type RS 232 ou PCM-CIA, une interface 8 de 

15 liaison par infrarouge, et un dispositif DTMF 9 pour la transmission de 
donnees sur une ligne telephonique. 

Les composants du module 1 comprennent egalement une horloge 10 
et une source 11 d'alimentation electrique des differents circuits et 
composants du module 1. La source 11 d'alimentation electrique peut etre 

20 constitute par des piles ou une batterie si le module 1 est portable et 
autonome. 

La tache du microcontroleur standard 2 est de gerer 
l'environnement, c'est-a-dire de piloter les interfaces 4-9 et Thorloge 10, 
ainsi que la source d'alimentation 11 pour alimenter selectivement le 
25 microprocesseur securise 3 en energie electrique dans le cas d'un module 1 
autonome. 

Le microcontroleur standard 2 necessite ainsi peu de puissance do 
calcul, peu de memoire temporaire (RAM) et pas de memoire semi- 
permanente (EPROM ou EEPROM). Le microcontroleur 2 est protege en 
30 ecriture du fait que ses programmes (pilotage d'interfaces et, commc decrit 
dans la suite, interpreter, gestion des horloges et de Talimentation 
electrique, etc..) sont masques en memoire permanente 2c. Comme cela 



BNSDOCID: <FR 2779018A1J_> 



2779018 

27 

apparaitra dans la suite, lc microcontroleur standard 2 peut egalement 
contenir un ou plusieurs parametres secrets, sur la base desquels ll peut 
etre authentifie par le microprocesseur securise du module terminal et/ou 
d'une carte a circuit integre. Ces secrets doivent done etre proteges en 
5 lecture et en ecriture. lis seront de preference stockes dans la memoire 
temporaire (RAM) d'un microprocesseur "mono chip", qui n'est accessible ni 
en ecriture, ni en ecriture depuis 1'exterieur. Le microcontroleur standard 2 
peut egalement etre pourvu de fonctions de securite complementaires, par 
exemple pour interdire des fraudes telles que l'affichage de donnees 

10 differentes de celles provenant du microprocesseur 3. 

II s'agit par consequent d'un microcontroleur d'un faible cout et 
ayant une faible consommation electrique, qui est particulierement adapte 
a un produit portable. Ce microcontroleur peut etre par exemple du type 
MSM 63180 de la Societe OKI. 

15 De preference, deux horloges sont prevues en 10 : une horloge a 

frequence basse 10a, par exemple de frequence 32,368 KHz et une horloge 
a frequence elevee 10b, pouvant aller de 1 MHz a 12 MHz par exemple Le 
microcontroleur 2 commande la connexion de son horloge systeme sur Tune 
ou l'autre de ces deux horloges. 

20 L'horloge lente 10a cadence un dispositif de temporisation 2d du 

microcontroleur 2 avec une periode de 0,5 s pour realiser une horloge temps 
reel dans le module 1. L'unite de traitement 2a peut egalement fonctionner 
a l'aide de l'horloge lente 10a pour les fonctions ne necessitant pas de 
vitesse de calcul : dans ce cas I'horloge systeme du microcontroleur 2 est 

25 connectee sur Thorloge lente 10a et Thorloge rapide 10b est arretee. Ce 
mode de fonctionnement permet de limiter la consommation electrique du 
module 1, ce qui est avantageux si celui-ci est portable et alimente par une 
pile electrique. 

Le microprocesseur 3 securise en lecture et en ecriture comprend une 
30 unite centrale 3a et des memoires temporaire (RAM) 3b et permanente 
(ROM) 3c, ainsi qu'une memoire semi-permanente reprogrammable 
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electriquement (EEPROM ou Flash RAM par exemple) 3d pour le stockage, 
ontre autres, des programmes duplication du module 1. 

Ce microprocesseur securise 3 est du type do ceux utilises dans les 
cartes a micro-circuit et il presente un nombre limite d'entrees et de sortie, 
5 ses bus internes etant inaccessibles depuis l'exterieur. De par sa 
fabrication, il integre d'autres mecanismes de securite propres a ce type de 
microprocesseur et bien connus des specialistes de la technique, tels que 
matrice de securite, brouillage de memoire, controle de la frequence 
d'horloge, controle de la remise a zero (RESET), etc... 

10 Grace au fait que le microprocesseur 3 possede une memoire semi- 

permanente 3d, il est possible d'y charger depuis l'exterieur, par exemple a 
partir d'un serveur ou d'une carte a micro-circuit, un ou des programmes 
duplication. II est ainsi possible, en fonction des besoins, de faire evoluer 
la ou les applications (controle d'acces, transaction financieres et/ou 

15 commerciales, porte-monnaie electronique, etc..) auxquelles est destine le 
module 1. II est egalement possible, si la taille de la memoire semi- 
permanente 3d le permet, d'y implanter de nouvelles applications au cours 
de son utilisation. 

Selon la version choisie, le microprocesseur securise 3 peut assurer 

20 le calcul de fonctions cryptographiques requerant des calculs importants 
mis en oeuvre dans les algorithmes asymetriques de type RSA ou DSA, ou 
bien mettre en oeuvre des algorithmes plus simples, par exemple du type 
DES. 

Le microprocesseur securise 3 peut ctre, par exemple : 
25 -un microprocesseur SIEMENS SLE44C160S, non cryptographique, 

dote de 14 Ko de memoire ROM et de 16 Ko de memoire EEPROM ; 

- un microprocesseur SGS THOMSON ST16CF54A cryptographique 
dote de 16 Ko de memoire ROM, de 4Ko de memoire EEPROM et de 480 
octets de memoire RAM ; 
30 - un microprocesseur PHILIPPS P83C858 cryptographique dote de 

20 Ko de memoire ROM et de 8 Ko de memoire EEPROM. 
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Le microprocesseur securise 3 est connecte, d'une part par la liaison 
12 au microcontroleur standard 2, d'autre part par des liaisons 13 et 14 a 
l'interface externe 7 et au lecteur 6 de carte a micro-circuit par 
l'intermediaire de commutateurs-adaptateurs d'interface 15 et 16 
respectivement. Les commutateurs-adaptateurs 15 et 16 sont commandes 
par le microcontroleur standard 2 via des liaisons 17 ct 18 respectivement. 

Le microcontroleur standard 2 comprend un programme 
d'interpretation ou interpreteur 20 (Fig. 4B et 4C) stocke dans la memoire 
ROM 2c et permettant a celui-ci d'executer des commandes generees par le 
logiciel de traduction des requetes de haut niveau faisant partie du ou des 
programmes d'application, comme cela sera decrit dans la suite. Cet 
interpreteur 20 permet ainsi au(x) programme(s) duplication stocke(s) 
dans le microprocesseur securise 3 de piloter les interfaces 4-9 via la liaison 
12. Cependant, le ou les programmes duplication peuvent etre localises et 
executes ailleurs que dans le microprocesseur 3 securise en lecture et en 
ecriture, par exemple dans une carte a micro-circuit 31 inseree dans 
l'interface 6, telle qu'une carte adaptee pour supporter des mecanismes de 
telechargement et d'execution des applications comme decrit dans la norme 
NF EN 726-3 intitulee "Cartes a circuit integre et terminaux pour les 
telecommunications. Partie 3 : Specifications de la carte independantes des 
applications". 

Les programmes duplication peuvent en outre, en fonction des 
regies de securite auxquelles ils sont soumis, etre distribues entre ces 
differentes localisations. 

Le schema fonctionnel de la figure 4B illustre une premiere 
configuration d'architecture logicielle du module 1 de la figure 4A dans 

laquelle l'ensemble des programmes d'application Al, A2, An et des 

fonctions de securite (calcul de condense, algorithmes cryptographiques 
symetriques tels que DES, triple DES, ou asymetriques tels que proposes 
par RSA) est mis en oeuvre dans le microprocesseur securise 3. 

Les applications nominees ci-dessus et dans la suite de la description 
Al, A2, An comprennent au minimum les filtres Fl, F2, Fn, et done 
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en particulier les logiciels de traduction des requetes emises par le ou les 
fournisseurs de services applicatifs FAp faisant partie de l'application 
principale 54 (Figure 8A). 

Le microcontroleur standard 2 gere Tenvironnement au moyen de 
5 differcnts programmes de gestion ou gestionnaires d'interface a savoir : 

- un gestionnaire 21 du iecteur ou interface 6 de carte a micro- 
circuit; 

- un gestionnaire 22 de l'interface 7 de liaison serie ; 

- un gestionnaire 23 du clavier 5 ; 

10 - un gestionnaire 24 de l'interface 8 de liaison par infrarouge ; 

- un gestionnaire 25 de l'afficheur 4 ; 

- un gestionnaire 26 de l'horloge 10 et de la source d'alimentation 11; 

- un gestionnaire 27 de l'interface DTMF 9 ; 

- un gestionnaire 28 d'autres interface, dans Thypothese ou le 
15 module 1 comporte une ou des interfaces autres que celles representees a la 

figure 2. 

Ainsi, le microprocesseur securise 3 peut piloter les interfaces au 
mo3'en de commandes qui sont interpretees par l'interpreteur 20 et 
executees par le microcontroleur standard 2 grace aux gestionnaires 21-28. 

20 La figure 4C illustre une seconde configuration logicielle du module 

1 de la figure 4A dans laquelle une ou plusieurs applications Ax et une ou 
plusieurs fonctions cryptographiques Sx sont stockees dans une memoire 
reprogrammable 30a d'un microprocesseur securise 30 d'une carte a micro- 
circuit 31. Lorsque la carte 31 est introduite dans le Iecteur 6, le 

25 microprocesseur 30 execute les applications Ax et les fonctions 
cryptographiques Sx, tandis que d'autres applications et fonctions de 
securite peuvent etre residentes dans et mises en oeuvre par le 
microprocesseur securise 3 du module 1. Cest ainsi, par exemple, que le 
microprocesseur 30 de la carte 31 peut assurer une fonction de signature 

30 electronique dans l'hypothese ou le microprocesseur securise 3 n'integre 
pas un processeur de calcul dedie (cryptoprocesseur). Reciproquement, si le 
microprocesseur securise 3 integre un cryptoprocesseur, il est egalement 
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possible qu'une application presente dans la carte a micro-circuit 31 fasse 
appel a des commandes cryptographiques du module 1 7 commandes qui 
seront executees par le microprocesseur securise 3. 

Dans cette seconde configuration, qui pour le reste est identique a 
5 celle de la figure 4B, l'interpreteur 20 joue vis-a-vis du microprocesseur 30 
le memo role que celui qu'il remplit vis-a-vis du microprocesseur securise 3. 
Le module 1 peut ainsi executer des applications differentes selon le type 
de carte 31a micro-circuit introduit dans le lecteur 6, par exemple : 

- une authentification de l'utilisatcur dans le cadre d'une transaction 
10 bancaire (consultation de compte, virement de fonds, etc..) effectuee via 

une ligne telephonique au moyen de l'interface DTMF 9 ; 

- une consultation du solde d'un porte-monnaie electronique, ou le 
rechargement de ce porte-monnaie, a partir du module 1, lorsqu'une carte a 
micro-circuit 31 remplissant la fonction de porte-monnaie est introduite 

15 dans le lecteur 6. En outre, le module 1 permet de gerer plusieurs cartes 
porte-monnaie differentes : porte-monnaie bancaire, porte-monnaie 
specifique a une collectivite par exemple ; 

- lecture d'un dossier medical sur une carte medicale ; 

- lecture de points de fidelite sur une carte dans laquelle des points 
20 de fidelite sont attribues a un consommateur en fonction d'achats effectues, 

de sa participation a des operations de fidelisation de clientele, etc... 

Le mode d'execution decrit ci-dessus a la Figure 4A ainsi que les 
configurations logicielles presentees dans les Figures 4B et 4C 
s'appliquent, de maniere analogue, a un terminal construit autour dun PC 

25 conventionnel equipe en outre du microprocesseur securise 3. Dans ce mode 
d'execution, le microcontroleur 2 correspond au PC 102 tel qu'il est 
presente a la Figure 2A, l'unite de traitement 2a correspond au 
microprocesseur 102c du PC, et les memoires RAM 2b et permanentes 2c 
correspondent respectivement a la memoire RAM 102d et au disque dur 

30 102b. De meme les entrees / sorties 102a du PC correspondent aux modules 
d'interfaces 7, 8 et 12 de la Figure 4A. La connexion entre le 
microprocesseur securise 3 et le PC 102 peut etre une liaison serie ou 
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parallele, ou bien encore une connexion au bus interne du PC, du type 
PCMCIA, ou une connexion directe sur la carte mere du PC. En variante, le 
microprocesseur securise 3 peut etre integre de maniere fixe, ou amovible 
via le connecteur 41, au clavier du PC. 

Dans cc cas, le module logiciel interpreteur 20 ainsi que les modules 
logiciels de gestion des peripheriques 20 a 26 et 28 sont implantes et 
executes sur le PC. L'architecture fonctionnelle de ce mode dexecution est 
equivalente a celle presentee a la Figure 2B, le module interpreteur 20 
ainsi implante sur le PC assurant le meme role que le module interpreteur 
I de la Figure 2B : il execute les commandes de pilotage des echanges avec 
l'utilisateur regues du logiciel filtre F lui-meme implante de maniere 
securise dans le microprocesseur 3 (Figure 4B) ou la carte a circuit integre 
30 (Figure 4C). 

Le schema de la figure 5 illustre un deuxieme mode d'execution de la 
deuxieme forme de realisation de Finvention, dans lequel les circuits 
electroniques du module terminal 1 sont organises autour d'un seul 
microcontroleur 29 remplagant le microcontroleur 2 et le microprocesseur 3 
et pouvant offrir le meme type de protection physique et logique que les 
microprocesseurs congus pour les cartes a circuit integre. Ce 
microcontroleur gere l'ensemble des moyens ^interfaces 4-9 du module 
terminal. II comporte une unite de traitement 29a, une memoire 
temporaire (RAM) 29b, une memoire permanente (ROM) 29c et une 
memoire semi-permanente (EEPROM) 29d permettant le stockage du 
logiciel de traduction. L'unite de traitement 29a correspond a la fois a 
l'unite 2a de traitement de donnees permettant le pilotage des interfaces et 
a l'unite 3a de traitement permettant Texecution du logiciel de traduction. 
De meme que precedemment, le module terminal 1 peut etre construit 
autour d'un ordinateur personnel PC 102 auquel serait connccte au bus 
interne un microcontroleur securise 29 pilotant ainsi directement Tecran 
d'affichage 4 et le clavier 5 du PC. 

Dans une variante de realisation, la memoire dans laquelle est 
stockee le logiciel de traduction des requetes de haut niveau, memoire 
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volatile de type RAM avcc une alimentation de sauvegarde ou semi- 
permanente (EEPROM ou Flash RAM), peut etre externe au 
microcontroleur 29. Dans ce cas, le logiciel de traduction peut etre chiffre et 
signe, ou protege par un code de type MAC ("Message Authentication 
5 Code") de maniere a assurer a la fois son integrite et sa confidentiality. Le 
logiciel est lu par le microcontroleur 29, dechiffre puis execute. 

Selon un troisieme mode d'execution, represents a la figure 6, de la 
deuxieme forme de realisation de l'invention, le module terminal 101 est 
depourvu de microprocesseur securise 3. Sur cette figure 6, les memes 

10 numeros de reference qu'a la figure 4A ont ete conserves pour designer les 
memes elements. Le microcontroleur 2 pilote l'interface 6 et le 
commutateur-adaptateur 5 pour permettre la connexion du 
microprocesseur securise 130 d'une carte a micro-circuit programmable 131 
presente dans l'interface 6 avec l'interface de liaison externe 7. Dans ce cas, 

15 Tensemble des applications A et des fonctions cryptographiques C sont 
memorisees dans une memoire semi-permanente 130a (EEPROM ou Flash 
RAM) du microprocesseur securise 130 de la carte a micro-circuit 
programmable 131, et mises en oeuvre par ce dernier comme decrit a la 
figure 4C a propos des applications Ax et des fonctions cryptographiques 

20 Cx. 

Dans les exemples decrits precedemment, dans un but de 
simplification, le microprocesseur 30, 130 de la carte a circuit integre ainsi 
que le microprocesseur securise 3 eventuellement implante dans le module 
terminal comporte un seul port de communication. Ceci implique que dans 

25 ces exemples, les echanges entre les differentes entites, a savoir Tunite 
electronique 154 (figure 8) contenant Tapplication principale, le 
microprocesseur securise 3 et le microprocesseur 30, 130 de la carte circuit 
integro se font a travers le microcontroleur 2 ou 29 du module terminal. 
Ces descriptions ne doivent pas etre considerees comme limitatives : 

30 d'autres mises en oeuvre peuvent etre envisagees dans le cadre de la 
presente invention. En effet, les microprocesseurs securises de carte a 
circuit integre actuellement disponibles, utilisables pour la carte elle meme 
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(microprocesseur 30, 130) ou dans le module terminal (microprocesseur 3), 
peuvent comporter deux ports de communication. Differentes formes de 
realisation optimisant les flux de communication sont done aisement 
envisageables avec ce type de microprocesseur. Dans le cas de la figure 4C, 
5 par exemple, un des ports de la carte a circuit integre 31 peut etre dedie au 
pilotage de l'interface utilisateur et done rehe au microcontroleur 2, l'autre 
port etant relie a Tunite electronique comportant l'application principale 
moyennant une adaptation d 'interface appropriee. 

Suivant une caracteristique importantc dc l'invention, un logicicl 

10 filtre est implante dans la memoire reprogrammable EEPROM associee au 
microprocesseur securise 3 ou 29 du module terminal 1 et/ou au 
microprocesseur securise 30, 130 de la carte 31, 131. Ce logiciel filtre 
traduit dc maniere connue les requetes de haut niveau en provenance du 
serveur Sap ou de 1'ordinateur personnel PC en sequences de commandes 

15 elementaires executables par ces microprocesseurs (commandes qui sont 
notamment definies par la partie 4 de la norme ISO 7816-4). En outre, 
suivant Tinvention, ce logiciel filtre traduit ces requetes de haut niveau en 
sequences d'echanges de donnees entre le module terminal 1, 101 ct un 
utilisateur via les moyens d'interface tels que Tafficheur 4 et le clavier 5. 

20 Cette solution offre Tavantage de reduire considerablement le debit 

de donnees echange entre le module terminal 1, 101 et le serveur Sap ou le 
PC, mais requiert une implantation securisee du logiciel de traduction pour 
empecher que les instructions envoyees a la carte a micro-circuit soient 
modifiees. 

25 Ce logiciel filtre fait partie integrante de la partie du logiciel 

d'application implantee dans le module terminal 1 et/ou la carte 31, 131 et 
il est done telechargeable. 

La figure 7 illustre l'architecture logicielle conventionnclle d'une 
carte a micro-circuit. 

30 Les differentes couches de logiciels sont representees par un bloc 43 

qui comprend une couche logicielle 44 "protocole de communication" 
permettant de recevoir des commandes. Ces commandes sont decodees par 
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une couche logicielle 45 "Interpretation commandos APDU" (APDU : 
"Application Protocol Data Unit" dont le role est d'orienter les commandes 
vers des modules de traitement qui peuvent etre : 

- un logiciel 46 de services de gestion de fichiers securises ; 
5 - un logiciel 47 de services cryptographiques ; 

- un ou d'autres logiciels duplication 48 

Les modules de traitement 46, 47, 48 s'appuient sur des services de 
base offerts par le sys' .ae d'exploitation 49 de la carte a micro-circuit. 

La figure 8A illustre l'architecture logicielle d'un systeme de mise en 
10 oeuvre de transactions securisees faisant appel a des modules terminaux 1 
dotes d'un microprocesseur securise 3, conformement au mode d'execution 
de l'invention de la figure 4A. 

Le bloc 51 designe les logiciels executes par le microprocesseur 
securise 3 du module terminal 1, le bloc 52 les logiciels executes par le 
15 microcontroleur 2 ou PC 102 du module terminal 1, le bloc 53 les logiciels 
executes par le microprocesseur 30 d'une carte a micro-circuit 31, et le bloc 
54 le logiciel principal d'application, ou Fournisseur de services applicatifs, 
implante dans le serveur Sap ou un ordinateur personnel PC. 

Le bloc 51 est similaire au bloc 43 de la figure 7, c'est-a-dire que le 
20 microprocesseur securise 3 a une architecture semblable a celle d'une carte 
a circuit integre. Le bloc 51 comprend : 

- un logiciel 60 de protocole de communication. 

- un systeme d'exploitation 61 

- un bloc 62 representant la partie du logiciel d'application implantee 
25 dans le module terminal 1, cette partie du logiciel d'application etant 

essentiellement constitute du logiciel filtre precite. Differents modules 
logiciels de ce type correspondant a difTe rentes applications peuvent 
cohabiter dans le microprocesseur securise 3. 

- optionnellement, un logiciel 63 permettant d'assurer 
30 l'authentification du microcontroleur standard 2 par le microprocesseur 

securise 3 et l'authentification du microprocesseur securise 3 du module 
terminal 1 par le microprocesseur 30 de la carte 31, 
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- un logicicl 64 dc gestion dc fichicr securise, 

- un logicicl 65 de services cryptographiques. 
Le bloc 52 comprend : 

- un logiciel 70 de protocole de communication ; 

5 - un interpreteur de commandes 71 correspondant au logicicl 20 des 

figures 4B et 4C ; 

- un logiciel d'authentification 72 permettant, en liaison avec le 
logiciel 63, Tauthentification du microcontroleur standard 2 par le 
microprocesseur securise 3 du module terminal 1 ; 

10 - des logiciels 73 de gestion des ressources internes du 

microcontroleur 2 ; 

- des logiciels 74 de pilotage des interfaces avec l'utilisateur 
(gestionnaires 23 et 25 de l'ecran 4 et du clavier 5) ; 

- des logiciels 75 de pilotage des interfaces de communication 7, 8 et 
15 9 (gestionnaires 22, 24, 27) ; 

Enfin, le bloc 53 est similaire au bloc 43, mais ne comporte pas, dans 
l'exemple decrit par la figure 8A, de logiciel duplication ou filtre. II 
comprend : 

- un logiciel 80 de protocole de communication, 

20 - un logiciel 81 d'interpretation de commandes APDU, 

- un logiciel 82 de services de gestion de fichier securise (controle du 
PIN par exemple), 

un logiciel 83 de services cryptographiques (calculs 
cryptographiques symetriques a cles secretes ou asymetriques, a cles 
25 publiques et cles privees, etc..) permettant, entre autres, d'assurer, en 
liaison avec le logiciel 63, Tauthentification du microprocesseur securise 3 
du module terminal 1 par le microprocesseur 30 de la carte 31, 

- le systeme d'exploitation 84 du microprocesseur 30 de la carte 31. 
Le protocole de communication 60, 70, 80 permet de gerer les 

30 echanges de donnees entre : 

- le microprocesseur 30 de la carte 31 et le microcontroleur standard 
2 ou PC 102 du module terminal 1 ; 
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- le microprocesseur securise 3 et le microcontroleur 2 du module 
terminal 1 ; 

- le microprocesseur securise 3 du module terminal 1 et le 
microprocesseur 30 de la carte 31. 

5 La figure 8B est une vue similaire a la figure 8A illustrant 

l'architecture logicielle du systeme dans le cas ou le module terminal 101 
ne comporte pas le microprocesseur securise 3, conformement au troisieme 
mode d'execution du deuxieme mode de realisation de l'invention de la 
figure 6. 

10 Sur la figure 8B, le bloc 152 designe les logiciels executes par le 

microcontroleur 2 du module terminal 101, le bloc 153 les logiciels executes 
par le microprocesseur 130 dune carte a micro-circuit programmable 131, 
et le bloc 154 le logiciel principal d'application implante dans le serveur 
Sap ou un ordinateur personnel PC. 

15 Le bloc 152 comprend les memes logiciels 70, 71 et 73 a 75 que le 

bloc 52 de la figure 7, et un bloc 76 qui est un logiciel d'authentification du 
microcontroleur standard 2 du module terminal 101 vis-a-vis du 
microprocesseur 130 de la carte 131. 

Le bloc 153 relatif au microprocesseur 130 de la carte 131 comprend 

20 les logiciels 62 et 80 a 84 des blocs 51 et 53 de la figure 7, ainsi qu'un 
logiciel 77 permettant, en liaison avec le logiciel 76, d'assurer 
l'authentification du microcontroleur standard 2 du module terminal 101 
vis-a-vis du microprocesseur 130 de la carte 131. 

A la difference d'un systeme conventionnel, dans le systeme de 

25 transaction securisee selon l'invention, le logiciel filtre 62 qui traduit les 
requetes de haut niveau de l'application en commandos elementaires 
executables par une carte a micro-circuit est implante dans 
l'environnement utilisateur securise, c'est-a-dire soit dans le module 
terminal 1 (pour les applications Al, A2 An des modes d'execution des 

30 figures 4A-4C et 5), soit dans une carte 31, 131 a mcmoire semi- 
permanente utilisable avec le module terminal 1, 101 (pour les applications 
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Ax du mode de realisation de la figure 4C et pour toutes les applications du 
mode de realisation de la figure 6). 

Outre sa fonction de gestion d'une carte a micro-circuit, ce logiciel 
filtre 62 gere les interactions avec l'utilisateur, c'est-a-dire les sequences 
d'echange de donnees entre un utilisateur et le module terminal qui sont 
requises dans le cadre d f une application, echanges qui ont lieu par 
l'intermediaire des moyens d'interface, a savoir l'ecran 4 et le clavier 5. II 
est a noter que Tinvention n'est pas limitee a l'utilisation d'un ecran et d f un 
clavier comme interfaces avec l'utilisateur et que tout autre type 
d'interface, par exemple vocale, presentant l'ergonomie requise, pourrait 
convenir. 

Grace a l'implantation securisee du logiciel filtre 62 dans le 
microprocesseur securise 3 ou 29 du module terminal 1 ou le 
microprocesseur 30, 130 de la carte a micro-circuit 31, 131, la securite des 
transactions est assuree. En effet, les cles et regies necessaires pour 
acceder a des fichiers de la carte a micro-circuit 31, 131 sont contenues 
dans le logiciel de traduction 62 et sont done inaccessibles a des tiers. 

Les fonctions remplies par le logiciel filtre 62 seront illustrees ci- 
apres en prenant Texemple d'une application visant le commerce 
electronique. L'application met en oeuvre les entites suivantes : 

• un acheteur 

• un commergant, 

• une banque. 

Le commergant dispose d f un serveur de commerce electronique Sap 
(serveur Web) accessible depuis le reseau Internet. Les acheteurs sont 
equipes do: 

• un ordinateur PC permettant d'acceder au serveur Sap de commerce 
electronique, et grace auquel Tacheteur peut consulter un catalogue de 
marchandises. 

• une carte a circuit integre 31 delivree par la banque et dont le 
microprocesseur 30 contient une cle privee, mais ne dispose pas de 
capacites cryptographiques permettant d'effectuer une signature, 
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• un module terminal 1 selon le mode de realisation de la figure 4A, dote 
d'un microcontroleur standard 2, d'un microprocesseur securise 3 
disposant de capacites cryptographiques permettant la signature d'un 
message, d'un clavier 5, d'un afficheur 4, d'une interface carte a circuit 
integre 6 et d'une interface serie 7 pour sa connexion a un ordinateur 
PC. 

Les principes de fonctionnement sont les suivants : la transaction est 
signee par le module terminal 1 a l'aide d'une cle privee detenue par la 
carte 31. Cette cle privee est protegee par un code porteur confidcntiel 
(PIN) que l'acheteur doit saisir en milieu securise, done sur le terminal 1, 
et par une authentification prealable du terminal 1 par la carte 31a l'aide 
d'une cle secrete Kauth. De plus la cle privee est transmise de maniere 
chiffree (par une cle Kchif) de maniere a etablir un canal de communication 
securise entre le microprocesseur 30 de la carte a circuit integree 31 et le 
microprocesseur securise 3 du terminal 1. 

La figure 9 illustre les echanges entre les differentes entites : 

a. l'acheteur constitue sa commande sur l'ordinateur PC, 

b. l'ordinateur PC elabore la transaction a faire signer par l'acheteur 
(reference article, prix) et demande la signature de cette transaction au 
module terminal 1, 

c. le module terminal verifie l'origine de la demande de signature puis 
sollicite la saisie du code PIN par affichage d'un message "saisie PIN" sur 
son afficheur 4, 

d. l'acheteur saisit son code porteur (code PIN) sur le clavier 5 du module 
terminal 1, 

e. le PIN est envoye par le module terminal 1 a la carte 31 pour 
verification. Cette verification etant positive, elle provoque la levee d'une 
de deux conditions d'acces a la lecture de la cle privee, 

f. le module terminal 1 affiche la transaction sur son afficheur 4, 

g. l'acheteur donne son accord, par appui sur unc touche "validation" du 
clavier 5 du module terminal 1, 
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h. le module terminal 1 soumet une demande d'authentification extcrno a 
la carte 31. Cette authentification externe permet au microprocesseur 
securise 3 du module terminal 1 de s'authentifier vis-a-vis du 
microprocesseur 30 de la carte 31 et de lever ainsi la deuxieme protection 

5 d'acces a la cle privee. Cette authentification se fait en mode 
challenge/reponse sur la base d'un secret., Kauth, partage par le module 
terminal 1 et la carte 31, 

i. le module terminal 1 envoie une demande de lecture de cle privee a la 
carte 31, 

10 j. toutes les conditions d'acces etant remplies, la carte 31 accepte la 
demande de lecture, et renvoie la cle privee, chiffree par une cle secrete, 
Kchif, partagee par la carte 31 et le module terminal 1, 

k. le module terminal 1 dechiffre la cle privee, signe la transaction au 
moyen de la cle privee, detruit la cle privee, se deconnecte de la carte 31 et 
15 envoie e la transaction signee a Tordinateur PC qui la transmet au serveur 
S. 

Cet exemple peut etre transpose aisement a une transaction 
electronique effectuee sans ordinateur PC, le module terminal 1 se 
connectant directement a un serveur Sap par une liaison modem (figure 3), 
20 l'acheteur entrant la commande (reference produit) sur le module terminal 
1. 

II est a noter que l'authentification du microprocesseur securise 3 
par la carte peut aussi etre effectuc a travers la commande do lecture de cle 
privee en lui associant un code d'authentification MAC (Message 

25 Authentification Code) calcule au moyen d'une cle secrete. 

Cet exemple montre que le logiciel filtre 62 permet de traduire une 
requete de haut niveau "demande de signature de transaction" en une 
multitude de requetes elementaires adressees aux diffe rentes interfaces du 
module terminal 1, a savoir Tinterface 6 avec la carte a circuit integre 31, 

30 Tinterface afficheur 4, Tinterface clavier 5, l'interface de connexion a 
l'ordinateur PC ou au serveur Sap. 
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Un tel logiciel filtre de traduction a un role d'ecran, de filtre entre le 
mondc extcrieur, c'est a dire lcs applications, et les peripheriques qu'il 
gere. 

II ameliore la securite offerte du fait que : 
5 1. il impose un sequencement aux ordres elementaires envoyes. Par 

exemple, dans le cas illustre ci-dessus, il impose que la transaction soit 
validee par l'utilisateur avant d'etre signee. 

2. il dispose seul des parametres secrets permettant de generer et 
d'authentifier ces ordres elementaires. Ainsi il dispose seul des cles 
10 d'authentification et de chiffrement permettant de lire et dechiffrer la cle 
privee. 

Lorsque le logiciel filtre est execute dans le microprocesseur securise 
3 du module terminal 1, ces proprietes permettent d'imposer une politique 
d'acces a la carte 31, politique qui n'est pas toujours completement imposee 
15 par la carte elle-meme, ou d'etendre les capacites d'une carte (capacite de 
signature deleguee au module terminal, utilisation dans un contexte non 
prevu lors de son deploiement initial). 

Les avantages offerts en terme de securite par Texecution du logiciel 
filtre dans le microprocesseur securise du module terminal ou dans celui de 
20 la carte a circuit integre ne sont possibles que parce que le logiciel s'execute 
dans un environnement securise permettant d'assurer que : 
• les secrets contenus par le logiciel filtre ne sont pas accessibles du fait 
qu'ils sont memorises au sein du microprocesseur securise 3, 29, 30 ou 
130, 

25 • la confidentiality et Tintegrite du logiciel filtre sont preserves, du fait 
que ce logiciel est memorise dans la microprocesseur securise 3, 29, 30 
ou 130. 

Dans le cas ou le module terminal 1 est un produit dedie, disposant 
de ses propres interfaces, afficheur 4 et clavier 5, Tobjectif de securite est 
30 atteint grace au fait que le logiciel pilotant les echanges de donnees avcc 
l'utilisateur ne peut etre modifie, dans la mesure ou il est stocke de 
maniere definitive dans la memoire permanente 2c du microcontroleur 2 ou 
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de maniere securisee dans le microcontroleur 29. L'utilisateur peut ainsi 
valider en toute confiance le contenu de sa transaction grace a l'afficheur 4 
et au clavier 5, rendant optionnel la necessite de verifier l'identite de 
l'application ou l'origine et l'integrite des requetes. 
5 D'autres mecanismes peuvent encore ameliorer le niveau de securite 

de la chaine de confiance entre le microprocesseur securise de la carte a 
circuit integre, l'eventuel microprocesseur securise du module terminal, le 
microcontroleur standard ou le PC du module terminal et l'utilisateur. Ces 
mecanismes sont les suivants : 
10 A) telechargement securise du logiciel filtre ; 

B) authentification du microcontroleur standard par le 
microprocesseur securise ou, ce qui est equivalent mais mieux adapte dans 
le cas dun mode d'execution du terminal autour d'un PC, authentification 
du module logiciel interpreteur I (20) par le logiciel filtre F (62), et/ou 

15 etablissement d'un canal de communication securisee entre ces deux 
microprocesseurs ou les logiciels I et F, 

C) protection d'un secret par le microcontroleur standard , 

D) authentification mutuelle et etablissement d'un canal de 
communication securise entre le microprocesseur securise de la carte a 

20 circuit integre et le microprocesseur securise du module terminal, 

E) authentification du module terminal , et eventuellement du 
couple module terminal-carte, 

F) authentification de la carte a micro-circuit par le module 
terminal. 

25 A) Telechargement securise du logiciel filtre 

L'organigramme de la figure 10 illustre le processus de 
telechargement d'un programme duplication (logiciel filtre) dans le 
microprocesseur securise 3 ou 29 du module 1 ou le microprocesseur 
securise 30, 130, d'une carte 31, 131 presente dans le lecteur 6. Ce 
30 telechargement peut etre effectue a partir d'un serveur Sap via, par 
exemple, l'ordinateur personnel PC et Tinterface 7 de liaison externe ou 
l'interface 8 de liaison infrarouge, ou directement au moyen d'une liaison 
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telephonique grace a l'interface 9 de liaison par DTMF. Lo telechargement 
peut egalement etre effectue dans le microprocesscur sccurise 3 ou 29 (si le 
module terminal en est equipe) a partir d'une carte a micro-circuit 
introduite dans le lecteur 6. 
5 A l'etape 32, la zone de la memoire 3d allouee au programme 

d'application a recevoir est vide et le microprocesseur 3 est en attcnte du 
chargement du programme d'application a la suite d'une requete de 
chargement. 

L'etape suivantc 33 correspond a une procedure d'authentification 
10 par le microprocesseur 3 de l'entite appelee a telecharger le programme 
d'application (Emetteur). Cette procedure d'authentification peut faire 
appel, par exemple, a des mecanismes de chiffrement bien connus des 
specialistes de la technique, par exemple des mecanismes symctriques a 
cles secretes partagees ou des mecanismes asymetriques a cle privee et cle 
15 publique. 

L'etape 34 est un test visant a determiner si la procedure 
d'authentification a reussi : dans la negative, le message "acces refuse" est 
affiche sur l'ecran 4 (etape 42) et le programme retourne a l'etape 32; dans 
l'affirmative, le processus de chargement du programme d'application 

20 commence a l'etape 35. 

L'etape 36 correspond au stockage dans la memoire EEPROM 3d des 
trames de donnees transmises par l'entite assurant le telechargement. 

L'etape 37 est un test pour determiner si le telechargement est 
acheve : dans la negative, le programme de telechargement revient a 

25 l'etape 36 et le telechargement se poursuit ; dans l'affirmative, il est 
procede a l'etape 38 a une verification de l'integrite des donnees recues par 
le microprocesseur 3. A cet effet, un code d'authentification de message 
(MAC) peut etre associe au programme telecharge pour permettre de 
verifier non seulement son integrite, mais egalement son origine. Le MAC 

30 peut etre produit en utilisant un mecanisme do cryptographie symetrique 
(DES en mode chaine CBC). La verification de l'origine et de rintegrite 
peut aussi etre realisee a l'aide d'un mecanisme de cryptographie 
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asymetrique : un condense du logiciel telecharge est signe par l'emetteur a 
l'aide de sa cle privee ; le microprocesseur securise 3 verifie ensuite la 
signature a l'aide de la cle publique de l'emetteur. 

II est a noter que dans ce dernier exemple, la cle publique par 
5 principe ne necessite pas de rester confidence lie. Cependant la securite 
apportee par le microprocesseur assure 1'integrite du logiciel, empechant 
un fraudeur de modifier le logiciel pour supprimer la verification de 
signature ou simplement de substituer a la cle publique initialement 
prevue une cle publique pour laquelle il connaitrait la cle privee associee. 

10 Si d'apres le test 39, il s'avere que les donnees rogues sont correctes, 

un drapeau indiquant que le programme d'application regu est valide est 
elabore a Tetape 40. Dans le cas contraire, le programme de 
telechargement revient a 1'etape 32 de depart. 

Ce processus de chargement du logiciel d'application, done du logiciel 

15 filtre, dans la memoire reprogrammable securisee (3d, 30a, 130a suivant le 
mode de realisation), comporte des mecanismes permettant de confirmer 
l'origine et 1'integrite des donnees regues de Temetteur du logiciel. Ceci 
permet d f interdire le telechargement par un fraudeur d'un logiciel filtre qui 
serait susceptible de mettre en oeuvre des transactions dans le module 

20 terminal 1, 101 a Tinsu de l'utilisateur. 

B) Authentification du module logiciel interpreteur I, 20, 71 par le 
logiciel filtre F, 62 ou, ce qui est equivalent dans le mode 
d'execution correspondant, authentification du microcontroleur 
standard 2 par le microprocesseur securise, et/ou etablissement 

25 d'un canal de communication securise entre ces deux logiciels ou 
ces deux microprocesseurs. 

Pour qu'un utilisateur puisse avoir une totale confiance dans le 
module terminal au moyen duquel il effectue des transactions, il est 
necessaire : 

30 - d^uthentifier les donnees transmises du logiciel interpreteur 20, 

71au microprocesseur securise 3, 30 ou 130 executant le logiciel filtre ; 
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- cTassurer que les donnees transmises par le logiciel filtre pour etre 
affichees par Tintermediaire du logiciel interpreteur du module terminal 1, 
101 possede par l'utilisateur ne peuvent l'etre que par celui-ci. 

Lorsque les moyens de pilotage des echanges de donnees avec 
5 l'utilisateur, c'est a dire le logiciel interpreteur 20, 71, sont implantes de 
maniere fixe et non modifiable dans le module terminal 1, 101, comme par 
exemple dans la memoire ROM 2c du microcontroleur standard 2, 
Tauthentification du module logiciel est equivalente a l'authentification du 
microcontroleur. 

10 De meme, lorsque le logiciel filtre est implante de maniere a ne pas 

pouvoir etre modifie par une personne non autorisee, dans des moyens de 
traitement securises tels que le microprocesseur securise 3, la carte a 
circuit integre ou bien le serveur securise Ssec, une authentification 
effectuee par ces moyens securises est equivalente a une authentification 
15 effectue par le logiciel filtre lui-meme. 

Dans la description qui suit, nous decrirons les mecanismes 
d authentification des moyens logiciels de pilotage des interfaces ou logiciel 
interpreteur 20, 71 par le logiciel filtre. 

Differentes solutions permettent de remplir ces conditions. 
20 Une premiere solution consiste a chiffrer toutes les donnees 

echangees entre le le logiciel interpreteur 20, 71 et le logiciel filtre. 

Une deuxieme solution consiste a faire proceder a Tauthentification 
du logiciel interpreteur 20, 71 par le le logiciel filtre et/ou a etablir un canal 
de communication securise entre ces deux logiciels. 
25 Ces deux solutions impliquent necessaircment qu'au moins un 

parametre secret connu du logiciel filtre F, 62, soit stocke dans le logiciel 
interpreteur 20, 71. 

Selon la deuxieme solution, le logiciel filtre F, 62 authentifie le 
logiciel interpreteur 20, 71, selon un processus conventionnel 
30 d'authentification, sur la base d f une information transmise par le logiciel 
interpreteur 20, 71, et combinee avec le parametre secret. Au niveau du 
logiciel interpreteur 20, 71, cette procedure d'authentification est mise en 
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oeuvre par le logiciel 72 (figure 8A) ou le logiciel 76 (figure 8B), suivant la 
forme de realisation du module terminal. 

Co mecanisme d'authentification peut egaiement s'appliquer aux 
messages echanges entre les deux logiciels pour construire des codes 
5 d f authentification des messages permcttant de garantir l'origine et 
l'integrite de chaque message transmis. 

Dans le cas du mode d'execution decrit a la Figure 4A, cette solution 
requiert cependant que, de preference, une protection physique de la 
liaison entre les deux microprocesseurs soit assuree pour interdire a un 
10 fraudeur de lire les donnees echangees, et en particulier le code 
d'identification personnel (PIN) de la carte que 1'utilisateur peut etre 
amene a introduire via le clavier 5 pour la mise en oeuvre des transactions. 

C) Protection <Tun parametre secret par le microcontroleur 
standard 2 

15 La description precedente montre la necessite de stocker au moins 

un parametre secret dans le logiciel interpreteur. Le mode d'execution du 
terminal a partir d'un PC, dans lequel le logiciel interpreteur est execute 
sur le PC lui-meme, offre done de par la securite limitee du PC un degre de 
securite limite bien que suffisant pour empecher un virus de se substituer 

20 au logiciel interpreteur. Un degre de securite superieur est obtenu en 
implantant le logiciel interpreteur dans la ROM 2c du microcontroleur 
standard 2 Pour ameliorer la securite, le parametre secret du 
microcontroleur 2 pourra etre stocke dans la memoire temporaire, et cela a 
la fabrication du produit ou, eventuellement, lors de Hnsertion du 

25 microprocesseur securise 3 s'il est amovible, ou d'une carte a circuit integre. 
Cettc operation a pour but d'etablir une confiance entre les deux 
microprocesseurs. Toute precaution utile doit etre prise lors de cette 
operation pour s'assurer de Tauthcnticite du microcontroleur 2 (operation 
effectuee en usine, operation protegee par des cles dites de transport elles- 

30 memes stockees dans la memoire temporaire du microcontroleur 2 en 
usine, et dont la connaissance conditionne 1'opcration d'initialisation dudit 
parametre secret). En outre des mecanismes conventionnels de detection 
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d'intrusion (contacts...) scront mis en place, pour provoquer l'effacement de 
la memoire temporaire en cas cTintrusion (coupure alimentation...). 

D) Authentification mutuelle et etablissement d'un canal de 
communication securise entre le microprocesseur de la carte a 

5 circuit integre et le microprocesseur securise du module terminal 
Cette authentification mutuelle et l'etablissement du canal de 
communication securisee sont realises par la mise en oeuvre de 
mecanismes identiques a ceux utilises entre le microcontroleur standard 2 
et le microprocesseur securise executant le logiciel filtre comme decrit au 
10 point B) ci-dessus. 

E) Authentification du module terminal 

II est important de se premunir vis-a-vis de toute attaque contre 
Tensemble clavier 5, afficheur 4, microprocesseur securise 3, visant par 
exemple a effectuer des contrefa?ons de module terminal , a substituer un 
15 module terminal par un module terminal contrefait dans le but de 
recuperer des informations saisies par l'utilisateur (espionnage clavier), 
d'acceder aux secrets d'une carte a circuit integre, d'effectuer des fausses 
signatures. 

Pour cela, il pourra etre ajoute un mecanisme permettant a 
20 l'utilisateur d'authentifier son terminal. 

Cet objectif est atteint grace a un processus de personnalisation 
automatique. 

Authentification du module terminal seul 

La personnalisation peut consister en le calcul d'un mot de passe 

25 facile a se rappeler genere et affiche par le terminal en fonction des 
paramctres secrets contenus par le ou les microproccsseurs du terminal, 
lorsque l'utilisateur introduit un PIN. Si le terminal comporte par exemple 
deux microprocesseurs, le mot de passe est stocke dans le microprocesseur 
securise, chiffre par le PIN et une cle secrete X, puis transmis au 

30 microcontroleur 2 pour dechiffrement avec la cle X stockee cgalcment dans 
le microcontroleur 2 et le PIN introduit par l'utilisateur. Ce mecanisme 
vise a se premunir contre la substitution de Fun des deux microprocesseurs. 
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Le meme principe peut etre applique a un couple carte/terminal a 
chaque fois qu'une carte a micro-circuit est utilisee avec le module 
terminal. La personnalisation peut consister par exemple en le calcul, au 
moyen du logiciel de traduction, d'un mot de passe base sur une 
5 information secrete contenue dans le microprocesseur securise de la carte 
et d'une ou plusieurs informations secretes contenues dans module 
terminal. Le meme principe que celui decrit ci-dessus peut etre utilise pour 
calculer le mot de passe. Ce mot de passe, genere lors de la premiere 
utilisation du module terminal en conjonction avec la carte et connu de 
10 Tutilisateur, est affiche sur l'ecran 4 lors des utilisations subsequentes du 
module terminal avec la carte. L'utilisateur peut ainsi le verifier et avoir 
ainsi l'assurance que le terminal en sa possession, constitue du module 
terminal couple a la carte, est bien authentique. 

F) Authentification de la carte a micro-circuit par le module 
15 terminal 

Pour accroitre encore la securite du systeme de transaction suivant 
^invention, un processus conventionnel d'authentification peut etre mis en 
oeuvre afin d'assurer Tauthentification par le module terminal 1, 101 de la 
carte a micro-circuit utilisee. Un tel processus d'authentification permet 

20 notamment d'eviter que le numero d'identification personnel (PIN) de 
l'utilisateur, que celui-ci introduit dans le module 1, 101 par le clavier 5 
pour executer une transaction securisee, soit capture par une carte falsifiee 
qui aurait ete substitute par un fraudeur a la carte authentique de 
l'utilisateur puis que ce fraudeur recupererait pour lire le PIN sur la carte 

25 falsifiee. L'authentification peut, par exemple, etre effectuee par un 
mecanisme classique de type defi / reponse au moyen d'un secret partage 
entre la carte et le module terminal en utilisant une cryptographie 
symetrique ou bien, comme cola a deja ete decrit precedemment, au moyen 
d'une cle privee stockee par la carte permettant le chiffrement du defi ou 

30 challenge a l'aide d'un algorithme asymetrique, le module terminal 
verifiant la reponse a Taide de sa cle publique. 
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L'architecture du systeme de transaction ainsi que les mecanismes 
de securisation decrits ci-dessus conferent une tres grande securite aux 
transactions effectuees au moyen du module terminal 1, 101. 

Ce module terminal permet : 

- grace au clavier 5, a l'ecran 4 et a la protection des donnees 
echangees avec l'utilisateur, d'etendre la nature des services reellement 
securises que peut fournir une carte a micro-circuit ; 

- d'utiliser la carte dans le contexte d'un environnement non securise 
(ordinateur personnel PC susceptible d'etre affecte par des virus ou 
programmes pirates), en l'isolant hermetiquement de cet environnement 
grace a une architecture logicielle et/ou materielle qui controle strictement 
l'acces a la carte, c'est a dire qui controle les commandes envoyees aux 
fonctions cryptographiqucs contcnues dans la carte. 

Le module terminal peut revetir differentes formes telles que : 

• un lecteur de carte a circuit integre, connectable a un ordinateur via 
differentes interfaces (PCMCIA:..) ou non (connexion a un serveur via 
modem uniquement) ; 

• un ordinateur (PC) dont les interfaces utilisateur sont constitutes par 
l'ecran et le clavier du PC, et qui comporte un lecteur de carte a circuit 
integre. Ce PC inclura des moyens logiciels et / ou materiels (tels qu'un 
second microprocesseur securise, le microcontroleur standard etant 
constitue par le PC) pour assurer Fintegrite et la confidentialite du 
logiciel filtre. Par ordinateur on entend un ordinateur de type PC, mais 
egalement un PDA ("Personal Digital Assistant" ou Assistant 
Numerique Personnel) ; 

• un clavier, eventuellement muni d f un ecran d'affichage LCD, dans lequel 
est integre un microprocesseur securise et une interface carte a circuit 
integre ; 

• un telephone muni eventuellement d'un afficheur, dans lequel est 
integre un microprocesseur securise et une interface carte a circuit 
integre ; 
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un decodeur (set-top box) de reseau cable de TV integrant un lecteur ce 
carte a circuit integre connecte a un poste de television, le postc de 
television, un clavier ou eventuellement la telecommande associe au 
decodeur ou a la television servant de moyens d'interface avec 
l'utilisatcur ; 

plus generalement tout equipement securisable par 1'integration d'un 
microprocesseur securise dans lequel pourra etre installee une 
application dite sensible, ou par 1'integration d'une interface carte a 
circuit integre permettant le pilotage dudit equipement par une 
application deportee dans une carte a circuit integre. 

L'ensemble de la description precedente decrit un terminal destine a 
etre utilise avec une carte a circuit integre. La carte a laquelle il est fait 
reference est en fait un outil permettant la misc on oeuvre de fonctions 
cryptographiques et personnalise par rapport a un utilisateur au moyen 
d'au moins un secret. II est evident que Fobjet de l'invention ne se limite 
pas a un outil de forme donnee tel que celui de la carte a circuit integre. 
L'invention couvre aussi la mise en oeuvre de dispositifs personnels de 
securite pouvant offrir des fonctions equivalentes a celle d'une carte a 
circuit integre, mais presentes sous une forme differente, tels que les 
produits " iButton " Java Ring " ou jeton (" token 
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REVE ND I C ATIO NS 
1. Terminal pour la mise en oeuvre, par un utilisateur, de 
transactions electroniques securisees en liaison avec au moins une 
5 application implantee sur une unite electroniquc, ledit terminal 
comprenant : 

- un module terminal comportant au moins : 

* des premiers moyens d'interface avec ladite application pour 
en recevoir des requetes relatives auxdites transactions, 

10 * des deuxiemes moyens d'interface avec ledit utilisateur, 

* des troisiemes moyens d'interface avec un dispositif 
personnel de securite, 

* des premiers moyens de traitement de donnees comprenant 
au moins des premiers moyens logiciels de pilotage desdits moyens 

15 d'interface, et 

- un dispositif personnel de securite comportant au moins des 
deuxiemes moyens de traitement de donnees securises comprenant au 
moins des deuxiemes moyens logiciels d'execution de commandes 
elementaires et des moyens d'execution de calculs cryptographiques, 

20 caracterise en ce que : 

- ledit terminal (1, 31 ; 101, 131) est adapte pour recevoir lesdites 
requetes de ladite application (Fap) implantee sur la dite unite 
electronique (Sap ; PC) sous la forme de requetes de haut niveau 
independantes dudit dispositif personnel de securite, 

25 - Tun au moins dudit module terminal (1 ; 101) et dudit dispositif 

personnel de securite comprend : 

* au moins une memoire reprogrammable (3d ; 30a ; 102b ; 130a ; 
Ssec) de stockage d'au moins un logiciel filtre (F, 62), traduisant lesdites 
requetes de haut niveau en sequences d'echange de donnees entre ledit 

30 module terminal (1 ; 101) et ledit utilisateur via lesdits seconds moyens 
d'interface (4, 5), executables par lesdits premiers moyens logiciels (I, 20, 
71) desdits premiers moyens de traitement de donnees (2 ; 29 ; 102), et 
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en sequences dc commandes elementaires executables par lesdits 
deuxiemes moyens logiciels (80-84) desdits deuxiemes moyens de 
traitement de donnees (30 ; 130), et 

* des moyens de protection dudit logiciel filtre (F, 62), pour 
empecher toute lecture et / ou modification dudit logiciel par une 
personne non autorisee, et 

- Tun au moins desdits premiers et deuxiemes moyens de 
traitement de donnees (3 ; 29 , 30 ; 102 ; 130 ; Ssec) comprend un 
dispositif de traitement de donnees pour Texecution dudit logiciel filtre 
(F, 62). 

2. Terminal selon la revendication 1, caracterise en ce que ledit 
dispositif d'execution du logiciel filtre comprend des premiers moyens 
^identification et /ou d'authentification de ladite application (Fap) 
implantee dans ladite unite (Sap; PC) ou de Forigine desdites requetes 
emises par ladite application. 

3. Terminal selon la revendications 2, caracterise en ce que ledit 
dispositif de traitement de donnees pour l'execution dudit logiciel filtre (F, 
62) comprend des moyens de verification de l'integrite des donnees regues 
de ladite application (Fap). 

4. Terminal selon Tune quelconque des revendications 1 a 3, 
caracterise en ce que ledit dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre (F, 62) comprend des moyens centralises 
(Ssec) de controle des conditions d'utilisation des services du dispositif 
personnel de securite (31) en fonction de ladite application (Fap) et / ou de 
1'utilisateur. 

5. Terminal selon Tune quelconque des revendications 1 a 4, 
caracterise en ce que ledit dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre (F, 62) comprend : 

- des moyens pour commander le chargement securise dudit logiciel 
filtre dans ladite memoire programmable, via Tun desdits premiers ou 
troisiemes moyens d'interface, a partir d'une entite exterieure audit 
module, et 
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- des premiers moyens de controle d'acccs pour n'autoriscr lcdit 
chargement dudit logiciel filtre qu'en reponse a au moins une condition 
predefinie. 

6. Terminal selon Tune quelconque des revendications 1 a 5, 
5 caracterise en ce qu'il comprend des deuxiemes moyens d'authentification 

desdits premiers moyens de traitement de donnees (2 ; 3 ; 29 ; Ssec) par 
lesdits deuxiemes moyens de traitement de donnees (30 ; 130). 

7. Terminal selon Tune quelconque des revendications 1 a 6, 
caracterise en ce qu'il comprend des troisiemes moyens d'authentification 

10 desdits deuxiemes moyens de traitement de donnees (30 ; 130) par lesdits 
premiers moyens de traitement de donnees (3 ; 29). 

8. Terminal selon Tune quelconque des revendications 6 et 7, 
caracterise en ce qu f il comprend un premier canal de communication (6) 
entre lesdits premiers (2 ; 3 ; 29) et deuxiemes (30 ; 130) moyens de 

15 traitement de donnees et des premiers moyens de securisation dudit 
premier canal de communication. 

9. Terminal selon Tune quelconque des revendications 1 a 8, 
caracterise en ce qu'il comprend des quatriemes moyens d'authentification 
dudit module terminal (1 ; 101) par ledit utilisateur, independamment de 

20 ladite carte (31 ; 131). 

10. Terminal selon la revendication 9, caracterise en ce que lesdits 
quatriemes moyens d'authentification comprennent des moyens de calcul, 
par lesdits premiers moyens de traitement de donnees (2 ; 3 ; 29), et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d'interface (4), 

25 d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees (2 ; 3 ; 29). 

11. Terminal selon Tune quelconque des revendications 1 a 10, 
caracterise en ce qu'il comprend des cinquiemes moyens d'authentification 

30 conjointe dudit module terminal (1 ; 101) et de ladite carte (31 ; 131) par 
ledit utilisateur. 
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12. Terminal selon la revendication 11, caracterise on cc que lcsdits 
cinquiemes moyens d'authentification comprennent des moyens de calcul, 
par ledit dispositif d'execution dudit logiciel filtre (3 ; 29 ; 31 ; 131), et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d f interface (4), 

5 d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un deuxieme et un troisieme parametres secrets stockes respectivement 
dans lesdits premiers (2 ; 3 ; 29) et deuxiemes (30 ; 130) moyens de 
traitement de donnees. 

13. Terminal scion l'une quelconque des revendications 1 a 12, 
10 caracterise en ce que ledit module terminal (1) comporte ladite memoire 

programmable (3d) pour le chargement et le stockage dudit logiciel filtre 
(F, 62). 

14. Terminal scion la revendication 13, caracterise cn cc que lesdits 
premiers moyens de traitement de donnees comprennent un premier 

15 microprocesseur (2 ; 102) de pilotage desdits moyens d f interface (4-9) 
programme grace auxdits premiers moyens logiciels (20, 71) de pilotage 
desdits moyens d'interface pour executer des commandes, generees par 
ledit logiciel filtre (F,62), pour la mise en oeuvre desdites sequences 
d'echanges de donnees entre ledit module terminal (1) et ledit utilisateur, 

20 et un deuxieme microprocesseur securise (3) du type pour carte a circuit 
integre dispose dans ledit module terminal et comportant ladite memoire 
programmable (3d), ledit second microprocesseur (3) executant ledit logiciel 
filtre (F, 62) pour le pilotage desdites sequences d'echanges de donnees au 
moyen desdites commandes transmises audit premier microprocesseur (2) 

25 et pour l'application desdites sequences de commandes elementaires 
auxdits deuxiemes moyens de traitement de donnees. 

15. Terminal selon la revendication 14, caracterise en ce que lesdits 
premiers moyens logiciels (20, 71) de pilotage des moyens d'interface 
comportent au moins un quatrieme parametre secret, ledit deuxieme 

30 microprocesseur (3) ctant commande par ledit logiciel filtre (F, 62) pour 
authentifier lesdits premiers moyens logiciels (20, 71) de pilotage des 
moyens d'interface sur la base d'une information transmise par ledit 
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premier microprocesseur (2) et combinee au moins avec ledit quatrieme 
parametre secret. 

16. Terminal selon la revendication 15, caracterise en ce qu'il 
comprend un deuxieme canal de communication (12) entre lesdits premiers 

5 moyens logiciels (20, 71) de pilotage des moyens d'interface et ledit 
deuxieme microprocesseur (3) et des deuxiemes moyens de securisation 
dudit deuxieme canal de communication. 

17. Terminal selon la revendication 16, caracterise en ce que lesdits 
deuxiemes moyens de securisation comprennent des moyens de chiffrement 

10 et dechiffrement, par lesdits premiers moyens logiciels (20, 71) de pilotage 
des moyens d'interface et ledit deuxieme microprocesseur (3), des donnees 
transmises sur ledit deuxieme canal de communication (12), sur la base 
d'au moins un cinquieme parametre secret memorise dans lesdits moyens 
de stockage (2b, 3d). 

15 18. Terminal selon Tune quelconque des revendications 16 et 17, 

caracterise en ce que lesdits deuxiemes moyens de securisation 
comprennent des premiers moyens physiques de protection dudit deuxieme 
canal de communication (12) contre les intrusions. 

19. Terminal selon Tune quelconque des revendications 15 a 18, 
20 caracterise en ce que ledit premier microprocesseur (2) comporte une 

memoire temporaire (2b) pour le stockage dudit parametre secret et des 
deuxiemes moyens physiques de protection de ladite memoire temporaire 
(2b) contre les intrusions. 

20. Terminal selon Tune quelconque des revendications 14 a 19, 
25 caracterise en ce que ledit deuxieme microprocesseur (2) est un 

microcontroleur. 

21. Terminal selon la revendication 13, caracterise en ce que lesdits 
premiers moyens de traitement de donnees comprennent ledit dispositif 
d'execution du logiciel filtre et sont constitues par un microprocesseur 

30 securise (29) adapte pour : 

* executer ledit logiciel filtre (F, 62) de traduction des requetes de 

haut niveau, 
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* transformer ces requetes de haut niveau en sequences d'cchanges 
do donnees avec Tutilisateur et en sequences de commandes 
elementaires executables par lesdits deuxiemes moyens logiciels 
desdits deuxiemes moyens de traitement de donnees (31), 
5 * piloter lesdits moyens d'interface (4-9) grace aux commandes 

generees par ledit logiciel filtre, pour la mise en oeuvre desdites 
sequences d'echanges entre ledit module terminal (1) et ledit 
utilisateur. 

22. Terminal selon la revendication 21, caracterise on ce que ledit 
10 microprocesseur (29) comporte ladite memoire programmable. 

23. Terminal selon la revendication 21, caracterise en ce que ladite 
memoire programmable est externe audit microprocesseur (29). 

24. Terminal selon la revendication 23, caracterise en ce que ledit 
logiciel filtre (F, 62) est stocke sous forme chiffree dans ladite memoire 

15 programmable et en ce que ledit microprocesseur (29) comprend des 
moyens pour lire, dechiffrer et executer ledit logiciel filtre. 

25. Terminal selon Tune quelconque des revendications 14 a 24, 
caracterise en ce que lesdits deuxiemes moyens de traitement de donnees 
dudit dispositif personnel de securite (31) comprennent egalement un 

20 dispositif (30) d'execution securisee d'un logiciel filtre et une memoire 
programmable (30a) pour le chargement et le stockage dudit logiciel filtre 
(62), lesdits premiers moyens logiciels desdits premiers moyens de 
traitement de donnees etant adaptes pour recevoir lesdites commandes 
pour la mise en oeuvre desdites sequences d'echange de donnees 

25 indifferemment de Yun ou l'autre desdits dispositifs (3 ; 29 ; 31) d'execution 
de logiciel filtre implantes dans ledit module et ledit dispositif personnel de 
securite respectivement. 

26. Terminal selon Tune quelconque des revendications 13 a 25, 
caracterise en ce que : 

30 - ledit logiciel filtre (F, 62) comprend au moins un parametrc secret, 

- lesdits deuxiemes moyens de traitement (30) de donnees 
comprennent des seconds moyens de controle d'acces conditionnels pour 
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n'autoriser l'execution desdits calculs cryptographiques, en reponse a dos 
commandes elementaires generees par ledit logiciel filtre (F, 62), que si au 
moins une seconde condition predefinie, fonction dudit parametre secret est 
remplie. 

5 27. Terminal selon l'une quelconque des revendications 1 a 12, 

caracterise en ce que ledit dispositif personnel de securite (131) comporte 
ladite memoire programmable (130a) pour le chargement et le stockage 
dudit logiciel filtre (F, 62). 

28. Terminal selon la revendication 27, caracterise en ce que lesdits 
10 premiers moyens de traitement de donnees comprennent un premier 

microprocesseur (2 ; 102) de pilotage desdits moyens d'interface (4-9) 
programme grace auxdits premiers moyens logiciels (20, 71)) du pilotage 
desdits moyens d'interface pour executer des commandes, generees par 
ledit logiciel filtre (F,62), pour la mise en ceuvre desdits sequences 

15 d'echanges de donnees entre ledit module terminal (1) et ledit utilisateur, 
et lesdits deuxiemes moyens de traitement de donnees comprennent un 
deuxieme microprocesseur securise (130) du type pour carte a circuit 
integre dispose dans ledit dispositif personnel de securite (131) et 
comportant ladite memoire programmable (130a), ledit second 

20 microprocesseur (130) executant ledit logiciel filtre (F, 62) pour le pilotage 
desdites sequences d'echanges de donnees au moyen de commandes 
transmises audit premier microprocesseur (2 ; 102), ainsi que lesdites 
commandes elementaires. 

29. Terminal selon les revendications 6 et 28, caracterise en ce que 
25 lesdits premiers moyens logiciels (20, 71) de pilotage desdits moyens 

d'interface comportent au moins un parametre secret et ledit second 
microprocesseur (130) de ladite carte (131) est commande par ledit logiciel 
de traduction (62) pour authentifier ledit premier microprocesseur (2) sur 
la base d'une information transmise par ledit premier microprocesseur (2) 
30 et combinee au moins avec ledit parametre secret. 

30. Terminal selon l'une quelconque des revendications 28 et 29, 
caracterise en ce que ledit deuxieme microprocesseur (130) dudit dispositif 
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personnel de securite (131) est adapte pour commander le chargement 
dudit logiciel filtre (F, 62) dans ladite memoire programmable (130a) via 
lesdits premiers moyens d'interface (7-9) et lesdits troisiemes moyens (6) 
d f interface avec ledit dispositif personnel de securite (131). 

31. Terminal selon Tune quelconque des revendications 13 a 30, 
caracterise en ce que ledit module terminal (1 ; 101) est constitue par un 
lecteur de carte a circuit integre et ledit dispositif personnel de securite est 
une carte a circuit integre (31 ; 131). 

32. Terminal selon la revendication 13, caracterise en ce que ledit 
module terminal (1) comprend un ordinateur personnel (102) et en ce que 
ladite memoire reprogrammable est constitute par le disque dur (102b) 
dudit ordinateur. 

33. Terminal selon la revendication 32 et Tune quelconque des 
revendications 14 a 17, caracterise en ce que ledit premier microprocesseur 
est constitue par le microprocesseur (102c) dudit ordinateur personnel 
(102), ledit ordinateur personnel (102) etant en outre interface audit 
microprocesseur securise (3). 

34. Terminal selon la revendication 32, caracterise en ce que ledit 
logiciel filtre (F) comprend un premier module de 
chargement/dechiflrement (Fed) et un deuxieme module chiffre (Fchi) pour 
ladite traduction des requetes de haut niveau, ledit premier module (Fed) 
commandant le chargement dudit deuxieme module (Fchi) en memoire 
RAM dudit ordinateur (102) et son dechiffrement pour Texecution dudit 
logiciel filtre par ledit ordinateur. 

35. Terminal selon la revendication 32, caracterise en ce que ledit 
logiciel filtre (F) comprend au moins un premier module (F-PC) implante 
sur ledit ordinateur personnel (102) et au moins un deuxieme module (F- 
SE) implante sur un serveur de securite (Ssec), ledit ordinateur personnel 
(102) et ledit serveur de securite (Ssec) etant connectes par un canal de 
communication securise (CS) permettant un echange de donnees protege 
entre lesdits modules. 



2779018 

59 

36. Terminal scion Tunc quelconque des revendications 32 a 35, 
caracterise en ce que ledit dispositif personnel de securite (31) est une carte 
a circuit integre. 

37. Systeme pour la mise en oeuvre de transactions securisee, 
5 caracterise en ce qu'il comprend au moins un terminal (1, 31 ; 101, 131) 

selon Tune quelconque des revendications 1 a 36, et au moins une unite 
electronique (Sap ; PC) comportant des moyens pour transmettre lesdites 
requetes de haut niveau audit terminal (1, 31 ; 101, 131). 

38. Systeme selon la revendication 37, caracterise en ce qu'il 
10 comprend une pluralite de terminaux (1, 31 ; 101, 131), au moins un 

serveur (S) constituant ladite unite electronique, et des moyens (CR) de 
transmission de donnees numeriques entre ledit serveur (S) et lesdits 
terminaux. 
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